K.Pommerening | J. Drepper Un F 
K. Helbing | T.Ganslandt 


Leitfaden zum 
Datenschutz 

in medizinischen 
Forschungsprojekten 


Generische Lösungen der TMF 2.0 


&) Medizinisch Wissenschaftliche Verlagsgesellschaft 


Schriftenreihe der TMF - Technologie- und Methodenplattform 
für die vernetzte medizinische Forschung e.V. 


Band 11 


K) Medizinisch Wissenschaftliche Verlagsgesellschaft 


Schriftenreihe der TMF - Technologie- und Methodenplattform 
für die vernetzte medizinische Forschung e.V. 


Band 11 


K. Pommerening | J. Drepper | K. Helbing | T. Ganslandt 


Leitfaden zum Datenschutz 
in medizinischen 
Forschungsprojekten 


Generische Lösungen der TMF 2.0 


unter Mitwirkung von 
T. Müller, U. Sax, S.C. Semler und R. Speer 


Medizinisch Wissenschaftliche Verlagsgesellschaft 


Die Autoren 


Prof. Dr. Klaus Pommerening Dr. Krister Helbing 

Institut für Medizinische Biometrie, Institut für Medizinische Informatik 

Epidemiologie und Informatik Universitätsmedizin Göttingen 

Universitätsmedizin der Johannes Gutenberg-Universität Robert-Koch-Str. 40 

Mainz 37075 Göttingen 

Obere Zahlbacher Str. 69 

55131 Mainz Dr. Thomas Ganslandt 
Medizinisches IK-Zentrum 

Dr. Johannes Drepper Universitätsklinikum Erlangen 

TMF - Technologie- und Methodenplattform Krankenhausstr. 12 

für die vernetzte medizinische Forschung e.V. 91054 Erlangen 

Charlottenstr. 42 

10117 Berlin 


MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG 
Zimmerstr. 11 

10969 Berlin 

www.mwv-berlin.de 


ISBN 978-3-95466-295-1 (eBook: PDF) 


Bibliografische Information der Deutschen Nationalbibliothek 
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; 
detaillierte bibliografische Informationen sind im Internet über http://dnb.d-nb.de abrufbar. 


© MWV Medizinisch Wissenschaftliche Verlagsgesellschaft Berlin, 2015 


Dieses Werk ist einschließlich aller seiner Teile urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere 
die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der 
Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, bleiben, 
auch bei nur auszugsweiser Verwertung, vorbehalten. 


Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne 
besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz- 
Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. 


Die Verfasser haben große Mühe darauf verwandt, die fachlichen Inhalte auf den Stand der Wissenschaft bei Drucklegung zu 
bringen. Dennoch sind Irrtümer oder Druckfehler nie auszuschließen. Daher kann der Verlag für Angaben zum diagnostischen 
oder therapeutischen Vorgehen (zum Beispiel Dosierungsanweisungen oder Applikationsformen) keine Gewähr übernehmen. 
Derartige Angaben müssen vom Leser im Einzelfall anhand der Produktinformation der jeweiligen Hersteller und anderer 
Literaturstellen auf ihre Richtigkeit überprüft werden. Eventuelle Errata zum Download finden Sie jederzeit aktuell auf der 
Verlags-Website. 


Produkt-/Projektmanagement: Frauke Budig, Berlin 

Lektorat: Monika Laut-Zimmermann, Berlin 

Infografiken: BELAU Werbung und Visuelle Kommunikation 

Layout & Satz: eScriptum GmbH & Co KG - Publishing Services, Berlin 


Zuschriften und Kritik an: 
MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG, Zimmerstr. 11, 10969 Berlin, lektorat@mwv-berlin.de 


Editorial der TMF 


Seit der Gründung der TMF im Jahre 1999 (seinerzeit noch als „Telematikplatt- 
form für Medizinische Forschungsnetze“) zählt die Auseinandersetzung mit 
Datenschutzfragen in der biomedizinischen Forschung zu den Hauptaufgaben 
des Vereins. Und dies zu Recht - stellt doch das deutsche Datenschutzrecht 
eine bisweilen hohe Hürde bei der Sammlung, Speicherung und Verarbeitung 
personenbezogener klinischer Daten für Forschungszwecke dar. Mit der Ver- 
wendung solcher Daten für die Wissenschaft treten die Verantwortlichen aus 
dem berufsrechtlich und strafgesetzlich geschützten Bereich der Patienten- 
versorgung heraus. Dies gilt insbesondere bei institutionsübergreifenden For- 
schungsvorhaben, da solche Projekte in der Regel Patientendaten außerhalb 
der jeweils behandelnden Institutionen zusammenführen müssen. Erstreckt 
sich das Vorhaben dann noch über mehrere Bundesländer, so bekommen die 
Forscher es unter Umständen mit einer Vielzahl spezialgesetzlicher Vorgaben 
und der Zuständigkeit unterschiedlicher Aufsichtsbehörden zu tun. Für Wis- 
senschaftler mit notorisch engem Finanz- und Zeitbudget ist es daher wichtig, 
die datenschutzrechtlichen Anforderungen genau zu kennen und Werkzeuge 
für ihre Erfüllung zur Hand zu haben, um so möglichst schnell grünes Licht 
für ihre Projekte durch die Aufsichtsstellen erhalten zu können. 


Vor diesem Hintergrund haben sich Wissenschaftler in derTMF schon vor vie- 
len Jahren zu einer interdisziplinären Arbeitsgruppe zusammengeschlossen, 
um gemeinsam mit Vertretern der Datenschutzbehörden in den Jahren 2001 
bis 2003 eine „Blaupause“ für dierechtskonforme Verarbeitung medizinischer 
Daten in unterschiedlichen Forschungskontexten zu entwickeln. Diese 2003 
vorgelegten „Generischen Datenschutzkonzepte“ bilden mit ihren beiden Mo- 
dellen A und B bis heute die Grundlage für ein standardisiertes Vorgehen hin- 
sichtlich Datensicherheit und Schutz der informationellen Selbstbestimmung 
in der biomedizinischen Forschung. Daneben dienten die Konzepte der TMF 
auch als Grundlage für die Spezifikationen diverser Software-Werkzeuge für 
die praktische Umsetzung datenschutzrechtlicher Vorgaben in den IT-Archi- 
tekturen von Forschungsprojekten. 


Der Erfolg der „Generischen Datenschutzkonzepte“ dokumentierte sich jedoch 
vor allem in einem seinerzeit mit den Datenschutzbeauftragten abgestimmten 
Verfahren, das 2003 auch im Vorwort des Koordinierungsrates (heute: Vor- 
stand) der TMF zur Druckversion beschrieben wurde. Danach sollten die „Ge- 
nerischen Datenschutzkonzepte“ als Grundlage für die Erstellung spezifischer 
Sicherheitspolicies und Datenmanagementkonzepte der einzelnen Netze bzw. 
Projekte dienen, um auf diese Weise die Genehmigungsverfahren durch die 
Landesdatenschutzbeauftragten zu beschleunigen. Das Ergebnis spricht für 
sich: Eine Vielzahl von Forschungsverbünden hat seit 2003 seine Datenschutz- 
konzepte erfolgreich an den generischen Vorschlägen der TMF ausgerichtet, 
und über 80 Forschungsprojekte haben sich durch die Arbeitsgruppe (AG) 
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Datenschutz der TMF, die sich zunehmend als zentrale Anlaufstelle für Daten- 
schutzfragen in der biomedizinischen Forschung etabliert hat, beraten lassen. 
Auch die Verständigung auf eine gemeinsame Sprache und die Darlegung der 
gegenseitigen Ansprüche trugen zu einer deutlichen Verschlankung und Ver- 
kürzung der Genehmigungsverfahren bei, was allen Beteiligten Zeit und Arbeit 
erspart - und somit zweifellos auch einen volkswirtschaftlichen Nutzen hat. 


Die „Generischen Datenschutzkonzepte“ der TMF haben zweierlei bewirkt: 
Zum einen ist es durch sie gelungen, in Datenschutzfragen einen Communi- 
ty-Konsens der Anwender, d.h. der Ärzte und Nicht-Ärzte, in den Forschungs- 
verbünden herzustellen. Darüber hinaus wurde jedoch auch ein sehr frucht- 
barer Dialog mit den Datenschutzbeauftragten der Länder und des Bundes 
angestoßen, der bis heute anhält. Aus einst versteckt (oftmals auch offen) 
empfundener Gegnerschaft ist eine Partnerschaft in der Sache geworden. 
Nicht zuletzt muss ja auch die Forschung ein großes Interesse daran haben, 
durch nachweislich datenschutzgerechte Verfahren jenes Vertrauen beiihren 
Patienten und Probanden aufzubauen und zu erhalten, das die unerlässliche 
Grundlage für deren freiwillige Mitwirkung an medizinischen Forschungs- 
projekten bildet. 


2003 wurde die erste Version der „Generischen Datenschutzkonzepte“ digital 
veröffentlicht; 2006 erfolgte die Buchpublikation als Band ı in der Schriften- 
reihe derTMF (Carl-Michael Reng, Peter Debold, Christof Specker, Klaus Pom- 
merening: „Generische Lösungen zum Datenschutz für die Forschungsnetze 
in der Medizin“. MWV, Berlin, 2006). Doch Datenschutzkonzepte können nie- 
mals statisch sein. Technische Weiterentwicklungen (z.B. in der Kryptogra- 
phie und in der IT-Sicherheit) und Änderungen der rechtlichen Rahmenbe- 
dingungen (siehe die aktuellen Planungen für ein harmonisiertes EU-Daten- 
schutzrecht) verändern die Anforderungen an den Datenschutz ebenso wie 
neue wissenschaftliche Errungenschaften (z.B. das Next Generation Sequen- 
cing) und soziale Entwicklungen (z.B. die Verbreitung der Social Media Netz- 
werke). Auch muss der Diskurs zwischen theoretischen Datenschutzanforde- 
rungen und vertretbarem Realisierungsaufwand - vor allem vor dem Hinter- 
grund des internationalen Wettbewerbs in der biomedizinischen Forschung - 
stets neu geführt werden. Daher bedurfte es stets einer regelmäßigen 
Fortschreibung der „Generischen Datenschutzkonzepte“, und schon 2006 gab 
es die erste Erweiterung um den Bereich der Biobanken, die allerdings nur 
digital zur Verfügung steht. 


Zum Jahreswechsel 2005/2006 begann schließlich die Planung eines TMF-fi- 
nanzierten Projekts zur umfassenden Revision und Erweiterung der „Generi- 
schen Datenschutzkonzepte“. Dieses Vorhaben (Revision der generischen 
Datenschutzkonzepte der TMF, Do39-03) konnte im Sommer 2006 unter der 
bewährten Leitung von Prof. Dr. Klaus Pommerening (von 1999 bis heute Spre- 
cher der AG Datenschutz der TMF) gestartet werden. Nach langer intensiver 
Arbeit wurde im Sommer 2013 eine neue Version der „Generischen Daten- 
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schutzkonzepte“ der TMF vorgelegt, die sich in vielem von der Vorgängerfas- 
sung unterscheidet. Insbesondere ist es den Verfassern gelungen, die Konzep- 
te geeignet zu modularisieren, so dass jetzt je nach Art eines Forschungspro- 
jekts unterschiedliche Komponenten gezielt genutzt werden können. Auch 
wurden „Lesehilfen“ erstellt, die eine leichtere punktuelle Nutzung der Kon- 
zepte ermöglichen - von beispielhaften Anwendungsfällen über Vergleiche der 
alten und neuen Fassungen bis hin zu nützlichen Begriffserklärungen im 
Glossar. 


Die neue Version der „Generischen Datenschutzkonzepte“ wurde ebenfalls mit 
den Datenschutzbeauftragten der Länder und des Bundes, vertreten durch ihre 
Arbeitskreise Wissenschaft (Leitung: Dr. Rita Wellbrock, LfD Hessen) und 
Technik (Leitung: Gabriel Schulz, LfDI Mecklenburg-Vorpommern), abge- 
stimmt. In konstruktiver Zusammenarbeit wurde dabei intensiv um Formu- 
lierungen und Inhalte gerungen, um die Vorstellungen auf Seiten der Auf- 
sichtsbehörden mit den Realisierungsmöglichkeiten auf Seiten der Forscher 
in Einklang zu bringen. Am 27./28. März 2014 wurde die finale Fassung schließ- 
lich auf der 87. Konferenz der Datenschutzbeauftragten des Bundes und der 
Länder angenommen und zur Nutzung in der medizinischen Forschung emp- 
fohlen. Die TMF freut sich, die „Version 2.0“ der „Generischen Datenschutz- 
konzepte“ nun unter dem Titel „Leitfaden zum Datenschutz in medizinischen 
Forschungsprojekten“ als weiteren Meilenstein für die vernetzte medizinische 
Forschung in ihrer Schriftenreihe zur Verfügung stellen zu können. 


Um das Gelingen dieses schwierigen Werks haben sich im Laufe von andert- 
halb Dekaden viele engagierte Wissenschaftler und Experten verdient ge- 
macht. 


Für ihre grundlegenden Arbeiten an den „Generischen Datenschutzkonzepten“ 
in der Version ı gilt den Autoren PD Dr. Michael Reng und Prof. Dr. Klaus Pom- 
merening sowie Dr. Peter Debold, Prof. Dr. Christof Specker und PD Dr. Klaus 
Adelhard unvermindert Dank dafür, dass sie ihre jeweilige Kompetenz als 
Arzt, Forscher bzw. IT- und Sicherheitsexperte eingebracht haben. Auf den in 
der Version ı beschriebenen Modellen A und B beruhen das klinische Modul 
bzw. das Forschungsmodul im jetzt vorgelegten Leitfaden. Auch dem Koordi- 
nierungsrat der TMF der Jahre 2001-2003 (damals geleitet von Prof. Dr. Otto 
Rienhoff) ist für Initiierung des Projekts zu danken, ebenso dem Bundesmi- 
nisterium für Bildung und Forschung (BMBF) für die Unterstützung dieser 
und der meisten der nachfolgend genannten Aktivitäten der TMF. Schon in 
der Frühphase der Arbeitan den Konzepten haben Vertreter der Landesdaten- 
schutzbeauftragten wichtige Beiträge hierzu geleistet. Insbesondere sind die 
Vorsitzende des Arbeitskreises Wissenschaft der Landesbeauftragten für 
Datenschutz, Dr. Rita Wellbrock (Hessen), und der frühere Landesdaten- 
schutzbeauftragte des Landes Bayern, Reinhard Vetter, zu nennen, die die Idee 
eines zwischen Forschern und Datenschützern abgestimmten Grundkonzepts 
entscheidend unterstützt haben. 
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Die Erweiterung um ein generisches Datenschutzkonzept für Biobanken wur- 
de 2004 bis 2006 durch die Arbeitsgruppe Biomaterialbanken (BMB) der TMF 
initiiert und von einer interdisziplinären Projektgruppe bearbeitet. Hieran 
beteiligt waren Prof. Dr. Klaus Pommerening, PD Dr. Michael Hummel, 
Prof. Dr. Michael Krawczak, Prof. Dr. Jürgen W. Goebel, PD Dr. Dr. Michael 
Kiehntopf und Peter Ihle sowie aus derTMF-Geschäftsstelle Dr. Regina Becker, 
Sebastian C. Semler und Eva Sellge. Eine wichtige Grundlage dieser Arbeiten 
bildete das 2006 veröffentlichte und von der Projektgruppe begleitete Rechts- 
gutachten durch Prof. Dr. Jürgen Simon et al. , das als Band 2in derTMF-Schrif- 
tenreihe publiziert ist. 


Für ihre immense fachliche und organisatorische Arbeit im Rahmen der Re- 
vision und der Erstellung des neuen Leitfadens ist insbesondere den Autoren 
Prof. Dr. Klaus Pommerening (Mainz) und Dr. Johannes Drepper (TMF-Ge- 
schäftsstelle) sowie Dr. Krister Helbing (Universität Göttingen bzw. TMF-Ge- 
schäftsstelle), Dr. Thomas Ganslandt (Erlangen) und der beteiligten Projekt- 
gruppe (Prof. Dr. Ulrich Sax, Göttingen, Ronald Speer, Leipzig, Dr. Thomas 
Müller, München, und Sebastian C. Semler, TMF-Geschäftsstelle) zu danken. 
Auch in den Leitfaden flossen wesentliche Erkenntnisse aus Rechtsgutachten 
ein, die die TMF in den vergangenen Jahren beauftragt, begleitet und veröf- 
fentlicht hat. Insbesondere zu nennen sind hier die Gutachten von Prof. Dr. 
Dr. Christian Dierks (RA Kanzlei Dierks & Bohle, Berlin) zurTreuhänderschaft 
und Pseudonymisierungspflicht in klinischen Studien sowie das Rechtsgut- 
achten von Prof. Dr. Alexander Roßnagel, Prof. Dr. GerritHornung und Dr. Sil- 
ke Jandt (Kassel) zur Nutzbarkeit von Versorgungsdaten und der elektronischen 
Gesundheitskarte für Forschungszwecke. Beide Gutachten wurden zudem von 
Claus Burgardt (RA Kanzlei Sträter, Bonn) gesichtet und kommentiert. Die 
Gutachten sind online über die Webseite der TMF verfügbar. 


Wie zuvor sind wir auch im Zusammenhang mit der Revision der Generischen 
Datenschutzkonzepte den Datenschutzbeauftragten, namentlich den Arbeits- 
kreisen Wissenschaft und Technik, für ihre engagierte Diskussion und Kom- 
mentierung sowie für die abschließende Zustimmung dankbar. Unser beson- 
derer Dank gilt einmal mehr Frau Dr. Wellbrock (LfD Hessen), die den Abstim- 
mungsprozess koordinierte. Daneben verdanken wir Jutta Katernberg (LfDI 
Nordrhein-Westfalen), Hendrik Wilmsmeyer (LfDI Nordrhein-Westfalen), 
Matthias Jaster (LfDI Hamburg), Wilhelm Kaimaier (LfD Niedersachsen) und 
Dr. Ulrich Vollmer (LfDI Berlin) viele wichtige Hinweise und Anregungen. 


Besonders zu danken ist der AG Datenschutz der TMF und den vielen Wissen- 
schaftlern, die ihre Projekte zwecks Beratung in der AG vorgestellt haben. 
Durch sie ist ein einzigartiger Überblick über die biomedizinische Forschungs- 
landschaft und die dort relevanten Datenschutzbelange entstanden. Gerade 
die Diskussion mit den praktisch Betroffenen hat in den vergangenen elf Jah- 
ren maßgeblich zu dem Erkenntnisfortschritt beigetragen, der sich in der 
Revision niedergeschlagen hat. Insbesondere sei in diesem Zusammenhang 
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Gisela Antony (Marburg) und Prof. Dr. Norbert Graf (Homburg) gedankt, die 
viele Anwendungsfälle und Fallbeispiele zum vorliegenden Band beigetragen 
haben. 


Der TMF-Geschäftsstelle gilt unser Dank für ihre kontinuierliche Organisa- 
tionsunterstützung der AG Datenschutz und der beteiligten TMF-Projekte. Im 
Zusammenhang mit der vorliegenden Publikation in Buchform danken wir 
insbesondere Antje Schütt für das Lektorat und Dr. Elke Witt für die Aufberei- 
tung der Literatur. 


Im Laufe der Jahre ist mit den „Generischen Datenschutzkonzepten“ der TMF 
und den darauf basierenden Software-Werkzeugen der praktische Nachweis 
gelungen, dass eine rechtskonforme Umsetzung des Datenschutzes in der me- 
dizinischen Forschung technisch und organisatorisch möglich ist. Die TMF 
hofft, dass die „Generischen Datenschutzkonzepte“ auch in ihrer revidierten 
Fassung einen vielfältigen Nutzen bei der Bewältigung der „Hürde Daten- 
schutz“ durch die biomedizinische Forschung entfalten mögen. Zugleich bit- 
ten wir alle Beteiligten darum, den Erfahrungsaustausch fortzusetzen, Best 
Practice-Erkenntnisse zu sammeln und der TMF hierzu ein kontinuierliches 
Feedback zu geben. Nur so lässt sich auch künftigen Herausforderungen auf 
diesem Feld geeignet begegnen. Die AG Datenschutz der TMF wird der biome- 
dizinischen Forschung auch in Zukunft gern als Ansprechpartner zur Verfü- 
gung stehen. 


Für die TMF - Technologie- und Methodenplattform für die vernetzte medizi- 
nische Forschung e.V. (TMF) im Auftrag des Vorstands 


Sebastian Claudius Semler Prof. Dr. Michael Krawczak 
(Geschäftsführer) (Vorstandsvorsitzender) 
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Die 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27. und 28. März 2014 in 
Hamburg empfiehlt medizinischen Forschungseinrichtungen und Forschungsverbünden, den von der TMF 
entwickelten „Leitfaden zum Datenschutz in medizinischen Forschungsprojekten - Generische Lösungen 
der TMF - Version 2“ (Dokumentversion 1.01) als Basis zu nehmen für die konkrete Ausgestaltung ihrer 
Datenschutzkonzepte (siehe http://www.datenschutz.hessen.de/dgo11.htmt#entry4196). 


Der mit diesem Buch vorgelegte Text stellt eine endredaktionell überarbeitete Fassung des der Empfehlung 
der Konferenz der Datenschutzbeauftragten zugrundeliegenden Dokuments dar. Inhaltliche Änderungen 
wurden nicht vorgenommen, lediglich die Fußnoten 14 und 17, Quellenhinweise im Glossar sowie das 
Kapitel 7 „Zusammenfassung und Ausblick“ wurden im Zuge der Überarbeitung noch ergänzt. Zudem war 
der Inhalt des elektronischen Anhangs nicht Gegenstand des Abstimmungsprozesses zwischen der TMF 
und den Datenschutzbeauftragten und ist somit von der Empfehlung nicht mit umfasst. 
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1 Einführung 


Die medizinische Forschung arbeitet zunehmend vernetzt in immer größeren 
Forschungsverbünden. Um international konkurrenzfähig zu bleiben - und 
in manchen Gebieten: wieder zu werden - wird vorrangig die landesweite 
Bündelung von Kompetenzen als nötig erachtet. Daher unterstützen das Bun- 
desministerium für Bildung und Forschung (BMBF) und die Deutsche For- 
schungsgemeinschaft (DFG) seit einigen Jahren mit Nachdruck den Aufbau 
der vernetzten Forschung; zu erwähnen sind vor allem die Kompetenznetze 
in der Medizin‘, die Transregio-Sonderforschungsbereiche, die Netzwerke für 
seltene Erkrankungen, das Nationale Genomforschungsnetz, die Nationale 
Biobanken-Initiative und nicht zuletzt auch die Deutschen Zentren der Ge- 
sundheitsforschung?. Auch die zunehmend geforderte europäische Ausrich- 
tung von Forschungsprojekten verdeutlicht den Vernetzungsdruck im biome- 
dizinischen Forschungsbereich. 


Die Vernetzung schafft überregionale, meist auf die Erforschung bestimmter 
Krankheiten ausgerichtete Kooperationen von Grundlagenforschern und Kli- 
nikern, die durch gemeinsame Ressourcen-Nutzung Synergien freisetzen. Ein 
wichtiges Element dieser Kooperation ist die überregionale Zusammenfüh- 
rung und Bereitstellung aller forschungsrelevanten Daten in zentralen Daten- 


1  http:/www.kompetenznetze-medizin.de 
2  http:/www.bmbf.de/de/gesundheitszentren.php 
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banken bzw. Registern und von Proben in zentralen Biobanken. Wie solche 
Datenbanken und Probensammlungen datenschutzgerecht aufgebaut, orga- 
nisiert und betrieben werden können, wird in dem vorliegenden Text beschrie- 
ben und in Abbildung ı illustriert. 


Das nachfolgende Kapitel 2 erläutert, wie ein generisches Konzept als Blau- 
pause eines konkreten Datenschutzkonzepts für einen bestimmten For- 
schungsverbund verwendet werden kann. Auch die Unterschiede zwischen 
den ersten Modelllösungen der TMF aus dem Jahr 2003 [1] und der jetzt vorge- 
legten Revision sowie die Verzahnung mit dem bis 2006 weiterentwickelten 
generischen Datenschutzkonzept für Biobanken [2] sind in diesem Kapitel be- 
schrieben. 


In Kapitel 3 wird der Anwendungsbezug dieses Datenschutzkonzepts hervor- 
gehoben. Beispielhaft geschilderte Anwendungsfälle erleichtern gerade Prak- 
tikern der medizinischen Forschung den Einstieg in die Thematik und erlau- 
ben eine erste Einschätzung, welche Module des Gesamtkonzepts für einen 
konkreten Einsatz in eigenen Projekten von Interesse sein könnten. 


Kapitel 4 widmet sich den datenschutzrechtlichen Grundlagen für den Aufbau 
und die Nutzung zentraler Daten- und Probeninfrastrukturen in der medizi- 
nischen Verbundforschung. Aufgrund der Komplexität der Materie kann nur 
ein erster Überblick gegeben werden, um den Einstieg zu erleichtern. Für den 
interessierten Leser wird jedoch auch auf weiterführende Literatur verwiesen, 
wie z.B. die zu verschiedenen Themen im Auftrag der TMF erstellten Rechts- 
gutachten. 


Einen konkreten Einblick in die Modelllösungen für verschiedene Aufgaben- 
stellungen und Anwendungsszenarien der Verbundforschung bietet Kapitel5. 
Im Unterschied zu den bisherigen generischen Lösungen der TMF ist das vor- 
liegende Konzept modular aufgebaut, was sich auch in der Kapitelstruktur 
widerspiegelt: Jedes Modul ist in einem eigenen Unterkapitel dargestellt, wo- 
bei auch Bezüge zum Anwendungsfall und konkrete Hinweise zur Realisierung 
zur Sprache kommen. 


Übergreifende Aspekte, die für alle Module relevant sind, und beispielhafte 
Verknüpfungen verschiedener Module bis hin zu einem Maximalmodell eines 
Forschungsverbunds werden in Kapitel 6 aufgegriffen. Somit stellen die Ka- 
pitel 5 und 6 das Herzstück der vorliegenden modellhaften Datenschutzkon- 
zepte dar. Kapitel 5 erlaubt jedoch aufgrund der modularen Ausrichtung ein 
selektives Lesen der relevanten Unterkapitel. 


Nach einer zusammenfassenden Darstellung samt Ausblick in Kapitel 7 findet 
sich ein umfassendes Glossar, welches alle relevanten verwendeten Begriffe 
dieses Leitfadens eindeutig erklärt und erläutert. Ein wichtiges Ziel des Glos- 
sars ist die Vermeidung von Missverständnissen, die häufig auf unterschied- 
liche Interpretationen komplexer Begrifflichkeiten zurückgehen. 
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Zur konkreten Unterstützung bei der Konzeption und Umsetzung eines eige- 
nen Datenschutzkonzepts findet sich in einem online zur Verfügung gestellten 
Anhang; eine Übersicht über verfügbare und ggf. nach Anpassung einsetzba- 
re Dokumente. Hierzu gehören Checklisten, Vertragsvorlagen, Policies, Vor- 
lagen für Standard Operating Procedures (SOP) und Ähnliches. 
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Klinische DB 


> Kapitel 5.1 


Prüfarzt 


Studien-DB | 
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> Kapitel 5.3 


Abb.ı Übersicht über die Module und modulverbindende zentrale Komponenten des neuen 
Datenschutzkonzepts mit Verweisen auf die jeweiligen Kapitel mit ausführlichen 
Beschreibungen 


3 siehe www.tmf-ev.de/datenschutz-leitfaden 
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In der Arbeitsgruppe Datenschutz der TMF wurden in den letzten zehn Jahren 
über 80 Forschungsprojekte in Bezug auf eine datenschutzgerechte Umsetzung 
von Daten- und Probensammlungen beraten. Grundlage der Beratung waren 
die generischen Datenschutzkonzepte der TMF, die 2003 mit den Arbeitskrei- 
sen „Wissenschaft und Forschung“ und „Gesundheit und Soziales“ der Daten- 
schutzbeauftragten des Bundes und der Länder auf nationaler Ebene abge- 
stimmt und 2006 in der Schriftenreihe der TMF in Buchform veröffentlicht 
wurden [1]. Mit diesen generischen Lösungen ist erstmals der Versuch gemacht 
worden, sowohl die Erstellung formal akzeptabler und bundesweit einsetz- 
barer Datenschutzkonzepte für unterschiedlichste Verbundforschungsprojek- 
te als auch den damit verbundenen Prüfungs- und Abstimmungsprozess mit 
Ethikkommissionen und Datenschützern deutlich zu vereinfachen und zu 
beschleunigen. Insbesondere an der Notwendigkeit, im Rahmen der Erstel- 
lung und Abstimmung eines konkreten Datenschutzkonzepts medizinische, 
informationstechnische, juristische und organisatorische Kompetenz zu bün- 
deln, sind früher viele Forschungsprojekte gescheitert. Die Bereitstellung 
eines generischen Konzepts sollte hier Abhilfe schaffen. Dieses war sowohl 
als Ausgangspunkt eigener Dokumente wie auch als Einführung in und An- 
leitung für das komplexe Themenfeld gedacht. 


Die generischen Datenschutzkonzepte sind in den letzten Jahren zweifellos 
eines der bekanntesten, wichtigsten und erfolgreichsten Produkte der TMF 
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geworden. Sie werden mittlerweile auch weit über die Mitgliedschaft der TMF 
hinaus genutzt und angewendet. Die Konzepte haben für die Verbundfor- 
schung neue Möglichkeiten geschaffen und hierfür bundesweit einen einheit- 
lichen und breit akzeptierten Bezugsrahmen für die Abstimmung mit den 
Datenschützern aufgespannt. Die Begleitung der Erstellung und Abstimmung 
von konkreten Datenschutzkonzepten durch die Arbeitsgruppe Datenschutz 
der TMF hat gezeigt, dass die Zeit bis zu einer abschließenden Stellungnahme 
der Datenschützer (und damit die Wartezeit bis zum eigentlichen Start der 
Daten- und Probensammlung) deutlich verkürzt werden konnte. Kostenauf- 
wändige technische und juristische „Wieder-Erfindungen“ einerseits sowie 
auch das Verfolgen bereits primär unzureichender Lösungen andererseits 
konnte für eine Reihe von Forschungsprojekten verhindert werden. 


Die Modelllösungen der TMF haben Wege aufgezeigt, wie sachgerecht mit Pa- 
tientendaten umgegangen und gleichzeitig ein für die Forschung relevanter 
Datensatz verfügbar gemacht werden kann. Dabei wurde zwischen dem Mo- 
dell A für Forschungsnetze mit „klinischem Fokus“ und dem Modell B für eher 
„wissenschaftlich orientierte“ Netze unterschieden. Diese Lösungen werden 
mit der vorliegenden Ausarbeitung aufgrund der zwischenzeitlich gemachten 
Erfahrungen fortgeschrieben, aktualisiert und erweitert. Grundlage war und 
ist die sorgfältige Abwägung von Rechtsgütern, die im Auftrag der TMF von 
führenden Medizin- und Datenschutzrechtlern durch Gutachten unterstützt 
wurde. Eingesetzt wird das Instrumentarium, das die Datenschutzgesetze zur 
Wahrung der Persönlichkeitsrechte anbieten: Patientenaufklärung und -ein- 
willigung, Anonymisierung und Pseudonymisierung, informationelle Gewal- 
tenteilung und Datentreuhänderschaft, organisatorische Maßnahmen und 
vertragliche Regelungen sowie die sichere Gestaltung der informationstech- 
nischen Infrastruktur. 


Das erarbeitete Konzept mit seinen Varianten wird den Belangen der Patien- 
ten - und der in vielen Forschungsprojekten auch benötigten gesunden Pro- 
banden - ebenso gerecht wie den Anforderungen der medizinischen For- 
schung, und es minimiert die Rechtsgüterkonflikte. 


2.1 Das Prinzip eines generischen Datenschutzkonzepts 


Das vorliegende Konzept zeigt verschiedene Wege zum datenschutzgerechten 
Aufbau medizinischer Forschungsverbünde auf. Es verfolgt einen modularen 
und skalierbaren Ansatz, der verschiedene Schwerpunkte zulässt und den An- 
forderungen von versorgungsnaher Forschung, klinischen Studien, epidemio- 
logischen Projekten, Biobanken, Registern und Langzeitforschungsprojekten 
gerecht wird. Es waren widersprüchliche Zielvorstellungen zu harmonisieren: 
Möglichst vielfältige Anforderungen der medizinischen Verbundforschung 
sollten abgedeckt und dabei doch die Datenprozessierung so konkret wie mög- 
lich definiert werden. Das generische Konzept sollund muss den Forschungs- 
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verbünden helfen, möglichst einfach und schnell zu einem spezifischen 
Datenschutzkonzept zu kommen, das dem zuständigen Datenschutzbeauf- 
tragten alle zur Beurteilung nötigen Informationen liefert. Durch den modu- 
laren Aufbau kommt das Konzept diesen Zielen gleichzeitig sehr nahe und 
integriert dabei die Modelllösungen A und B des „alten“ Konzepts als eigene 
Module. 


Die erarbeiteten Modelllösungen werden in unterschiedlichen Forschungsver- 
bünden mit unterschiedlicher Zusammenstellung der Module bis hin zum 
„Maximalmodell“ bereits eingesetzt. Weitere Verbünde sind in der Planung 
weit fortgeschritten. Die Beratung durch die Arbeitsgruppe Datenschutz der 
TMF soll dabei helfen, ein konsensfähiges konkretes Datenschutzkonzept auf 
der Basis der generischen Vorlage zu erarbeiten. 


2.2 Unterschiede zur bisherigen Version der generischen Daten- 
Schutzkonzepte 


Das „alte“ Konzept war auf die schnelle Erfüllung dringender Anforderungen 
hin verfasst worden. Unvollständigkeit wurde bewusst in Kauf genommen 
und als solche kenntlich gemacht. Der Auftrag zur Fortschreibung ist explizit 
formuliert worden. Schon 2005 wurden in einem Workshop der TMF systema- 
tisch die Erfahrungen mit diesem Ansatz gesammelt und der Revisionsbedarf 
konkretisiert. Im Einzelnen wurden als zu berücksichtigende Themenbereiche 
und Gesichtspunkte herausgearbeitet: 


= Der „klinische“ bzw. „wissenschaftliche“ Fokus war das wesentliche 
Unterscheidungsmerkmal der Modelle A und B. Dies ist aber keine Eigen- 
schaft eines Forschungsverbundes, sondern eine Eigenschaft eines Ein- 
zelprojekts, einer Datenbank oder Datensammlung. In einem großen 
Verbund sind in der Regel beide Aspekte gleichzeitig von Bedeutung. 
Diese Änderung der Sichtweise gegenüber dem alten Konzept führte 
dazu, dass die Modelle A und B unter einem gemeinsamen Dach zusam- 
menzufassen und auch in ihrem Wechselspiel zu beleuchten waren. 

= Die Erfahrungen mit der bisherigen Umsetzung in Forschungsverbün- 
den zeigten auch konkret, dass die Dichotomie zwischen den Modellen 
A und B oft nur mühevoll mit den Anforderungen der Praxis in Überein- 
stimmung zu bringen war. 

= Der Bereich der klinischen Studien war im alten Konzept bewusst aus- 
geklammert worden, auch weil die gesetzlichen Grundlagen dafür noch 
in der Diskussion waren. Sie sind inzwischen in Neufassungen des Arz- 
neimittelgesetzes (AMG) und des Medizinproduktegesetzes (MPG) fest- 
geschrieben. Da selbstverständlich in den meisten Forschungsverbün- 
den solche Studien eine zentrale Rolle spielen, musste dieser Bereich im 
revidierten Konzept ebenfalls behandelt und auch seine Querverbindun- 
gen mit anderen Forschungsprojekten des Verbunds dargestellt werden. 
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= Mitden Gesetzen zur Gesundheitsreform und den Bestrebungen, die Ge- 
sundheitstelematik flächendeckend voranzubringen, wurden neue ge- 
setzliche Rahmenbedingungen mit Konsequenzen für die Nutzung von 
Versorgungsdaten für die Forschung definiert. Andererseits wächst in 
der Forschergemeinde die Einsicht in die Notwendigkeit, „Routine- 
daten“ aus der Krankenversorgung für die medizinische Forschung zu 
nutzen, ein Thema, dem sich auch die TMF in verschiedenen Projekten 
gestellt hat. Eine Reihe nationaler [3] und internationaler [4] Projekte 
zeigt die Möglichkeiten dieses Ansatzes. 

= Die Abgrenzung von Forschung und Versorgung und andere inzwischen 
aufgeworfene rechtliche Fragen wurden von der TMF aufgegriffen und 
systematisch im Rahmen von Rechtsgutachten führender Experten auf- 
gearbeitet. Die Ergebnisse dieser Gutachten waren in das Datenschutz- 
konzept einzuarbeiten. 

= Auch die Einbindung des zwischenzeitlich entstandenen Datenschutz- 
konzepts für Biomaterialbanken in den Gesamtrahmen musste darge- 
stellt werden. 


Aus diesen Gründen schien es wenigzweckmäßig, nur den vorhandenen Text 
zu überarbeiten. Vielmehr musste der Ansatz hin zu einem modularen und 
flexiblen Gesamtkonzept geändert werden, was mit einer systematischen Auf- 
arbeitung von Grund auf verbunden war. Dadurch weicht die revidierte Ver- 
sion textlich sehr weit von der alten Version ab. Das heißt jedoch nicht, dass 
diese völlig verworfen werden muss: Ein großer Teil der grundsätzlichen Über- 
legungen ist nach wie vor gültig, und beide alten Modelle werden inhaltlich 
weiterhin vollständig abgedeckt. Sie finden sich in den Modulen „Klinisches 
Modul“ und „Forschungsmodul“ wieder. Das Datenschutzkonzept für Bioma- 
terialbanken bleibt weiterhin gültig und wird über das „Biobankenmodul“ in 
das Gesamtkonzept eingebunden. Abbildung 2 zeigt auf einen Blick, wie die 
bisherigen Konzepte in das neue Gesamtkonzept integriert wurden. Genauer 
ist die Einbindung in die neue übergreifende Struktur im Kapitel 6.1.7 und 
insbesondere in den dort stehenden Abbildungen 15-17 illustriert. 


2.3 Anwendung dieses Leitfadens 


Der Anwendungsbereich dieses Leitfadens und des darin vorgezeichneten ge- 
nerischen Konzepts ist in erster Linie der Aufbau eines oder mehrerer Daten- 
pools - auch in Kombination mit einer oder mehreren Biobanken - in einem 
medizinischen Forschungsverbund. Ergänzend ist die von der TMF erarbeite- 
te Checkliste für die Patientenaufklärung und Einwilligung [5] sowie das ge- 
nerische Datenschutzkonzept für Biomaterialbanken [2] zu berücksichtigen. 
Aufbauend auf den bisherigen Empfehlungen zur Nutzung der TMF-Daten- 
schutzkonzepte [ı, S. 88] und den in der Arbeitsgruppe mittlerweile gemachten 
Erfahrungen wird das nachfolgend beschriebene Vorgehen vorgeschlagen, das 
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Abb.2 Integration der bisherigen generischen Datenschutzkonzepte der TMF in die vorliegende 
modulare Konzeption. In der Abbildung der Modelle B und BMB ist für die Dateneingabe 
der Behandler aus dem Klinischen Modul nur beispielhaft dargestellt. 
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mit den Datenschützern auf Landes- und Bundesebene abgestimmt ist und 
die neu vorgelegte modulare Modellkonzeption berücksichtigt: 


1. Für die Erstellung eines Datenschutzkonzepts sollten zunächst die An- 
wendungsfälle und die sich daraus ergebenden Anforderungen geklärt 
werden. Auf Basis dieser Analyse können die notwendigen Module 
(s. Kap. 5) bestimmt und ggf. auch ergänzende technische und organi- 
satorische Maßnahmen festgelegt werden. 

2. Bei der Erstellung eines Datenschutzkonzepts für ein Forschungsprojekt 
sollten die technischen und organisatorischen Prinzipien derrelevanten 
Module aus Kapitel 5 und der allgemeinen Maßnahmen aus Kapitel 6 
möglichst weitgehend übernommen werden. Abweichungen müssen 
gut begründet sein. 

3. Bei der Überarbeitung bereits bestehender Datenschutzkonzepte ist zu 
prüfen, inwieweit die hier beschriebenen Prinzipien übernommen wer- 
den können. 

4. Die erste schriftliche Version eines Datenschutzkonzepts wird von dem 
zuständigen Mitarbeiter der Forschungseinrichtung oder des Verbunds 
der Arbeitsgruppe Datenschutz der TMF vorgestellt, so dass Empfehlun- 
gen aus diesem Kreis vor einer Finalisierung eingearbeitet werden kön- 
nen. Zur Klärung der Sitzungstermine und der zugehörigen Einrei- 
chungsfristen ist die Geschäftsstelle der TMF zu kontaktieren. 

5. Ein Datenschutzkonzept, das aus Sicht der Arbeitsgruppe Datenschutz 
der Überarbeitung bedarf, kann dieser in revidierter Form erneut zur 
Prüfung vorgelegt werden. 

6. Die Arbeitsgruppe Datenschutz fasst nach Prüfung und Diskussion den 
Beschluss, ob das Datenschutzkonzept in der vorliegenden Form aus 
Sicht der TMF akzeptiert werden kann und formuliert im positiven Fal- 
le - ggf. mit Änderungs- und Ergänzungsvorschlägen - eine Stellung- 
nahme, dieinsbesondere auf die Abweichungen von der hier vorgelegten 
generischen Konzeption eingeht. 


Die vorliegenden Empfehlungen für eine datenschutzgerechte Verwendung 
von Patientendaten in der medizinischen Forschung sind inhaltlich mit den 
Aufsichtsbehörden im Rahmen der Konferenz der Datenschutzbeauftragten 
des Bundes und der Länder abgestimmt. Der Leitfaden stellt mithin einen 
Rahmen dar, an dem sich Forschungseinrichtungen und Verbundforschungs- 
projekte bei der Erstellung von Datenschutzkonzepten orientieren sollten. Die 
Abstimmung der Datenschutzkonzepte einzelner Forschungsvorhaben hat 
danach auf der Grundlage des Leitfadens mit den jeweiligen betrieblichen bzw. 
behördlichen Datenschutzbeauftragten im Rahmen der gesetzlich geforderten 
Vorabkontrolle zu erfolgen. Die Stellungnahme der TMF nach dem oben be- 
schriebenen Procedere ist dafür eine wesentliche Grundlage. 


Eine Einbeziehung der zuständigen Datenschutz-Aufsichtsbehörde(n) ist 
grundsätzlich nicht notwendig, sie kommt aber in Betracht, wenn bei der 
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Konkretisierung des Leitfadens in Einzelfällen datenschutzrechtliche Frage- 
stellungen auftreten, die inhaltlich nicht vom Leitfaden entschieden bzw. 
abgedeckt werden und von den Verantwortlichen vor Ort und ggf. der TMF 
nicht selbst beantwortet werden können oder als diskussionsbedürftig ange- 
sehen werden. In diesen Fällen kann sich der für das jeweilige Forschungsvor- 
haben zuständige betriebliche bzw. behördliche Datenschutzbeauftragte mit 
einem Beratungsersuchen, dem die Stellungnahme der TMF beigefügt werden 
sollte, an die zuständige Aufsichtsbehörde wenden. 


Die für ein solches Beratungsersuchen zuständige Aufsichtsbehörde ist im 
Regelfall der Landesbeauftragte für den Datenschutz (LfD) des Bundeslandes, 
indem die Zentrale oder Geschäftsstelle des für das Forschungsprojekt zustän- 
digen Verbundes oder der durchführenden Einrichtung angesiedelt ist 
(vgl. Kap. 4.5). Im Falle eines bundeslandübergreifenden Forschungsprojekts 
übernimmt in der Regel diese Aufsichtsbehörde die Federführung für den wei- 
teren Prozess. In diesem Falle sollen andere ggf. ebenfalls zuständige Auf- 
sichtsbehörden von ihr informiert und in die Abstimmung einer gemeinsamen 
Stellungnahme eingebunden werden. 


Eine solche Stellungnahme sollte von der betroffenen Forschungseinrichtung 
zusammen mit einer Aufstellung der ggf. noch erforderlichen Änderungen 
wiederum der Arbeitsgruppe Datenschutz vorgelegt werden, um so den Wis- 
sensfluss und -zuwachs in die TMF hinein aufrechtzuerhalten. 


2.4 Gültigkeitsdauer und künftige Weiterentwicklung 


Die erste Version der generischen Konzepte zum Datenschutz in der medizi- 
nischen Verbundforschung konnte nur die drängendsten datenschutzrecht- 
lichen Probleme beim Aufbau langfristiger und vernetzter Forschungsinfra- 
strukturen lösen. Mit den 1999 gegründeten Kompetenznetzen in der Medizin 
wurde ein struktureller Umbau der Forschungslandschaft angestoßen, der mit 
einem zunehmenden Aufbau langfristiger zentralisierter Daten- und Proben- 
sammlungen einher ging und deren Nutzung zudem möglichst wenig durch 
eine enge Zweckbindung eingeschränkt werden sollte. In die jetzt vorgelegte 
revidierte Fassung ist vielKnow-how aus der Anwendung der bisherigen Kon- 
zepte und der Beratung diverser und zum Teil sehr unterschiedlicher Projekte 
durch die Arbeitsgruppe Datenschutz der TMF eingeflossen. Vor diesem Hin- 
tergrund erscheint die Annahme begründet, dass diese Version den Bedürf- 
nissen der medizinischen Forschungslandschaft für einige Zeitin der Zukunft 
gerecht werden könnte. 


Eine Weiterentwicklung wird mittelfristig dennoch nötig sein: Die For- 
schungslandschaft und die gesetzlichen Rahmenbedingungen sind in Bewe- 
gung, und neue Erfahrungen mit der Anwendung werden auch in Zukunft 
gemacht. Insbesondere hat der erste Entwurf der Europäischen Kommission 
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für eine europäische Datenschutzgrundverordnung [6] deutlich gemacht, dass 
in den nächsten Jahren mit grundlegenden Umwälzungen des Datenschutz- 
rechts mit Konsequenzen auch für nationale Regelungen zu rechnen ist. Daher 
wird es mit Sicherheit weitere Revisionen geben müssen, die wiederum die 
in den konkreten Projekten aufgetretenen und zurückgemeldeten Probleme 
aufgreifen werden. Auch in Zukunft wird daher der rege Informationsaus- 
tausch über den angewandten Datenschutz in der medizinischen Forschung 
in der Arbeitsgruppe Datenschutz der TMF und die enge Rückkopplung von 
Erfahrungen mit der Anwendung generischer Datenschutzkonzepte eine un- 
abdingbare Voraussetzung für die Weiterentwicklung sein. Diesen Aufgaben 
wird sich die TMF auch in Zukunft stellen. 
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Anwendungsszenarien 


Datensammlungen in medizinischen Forschungsdatenbanken und Registern 
sowie Probensammlungen in Biomaterialbanken dienen 


= derEtablierung neuer Diagnose- und Therapiemethoden oder -optionen, 
= der Standardisierung und Optimierung der Behandlungsverfahren, 
= der Hypothesenbildung als Basis für kontrollierte klinische und epide- 


miologische Studien (Data Mining), 

der Analyse der molekulargenetischen Ursachen einer Krankheit und 
der Krankheitsmechanismen, 

der Identifizierung geeigneter Vorsorgemaßnahmen, 

der Evaluation der Leistungsfähigkeit des Versorgungssystems, 

der Erforschung der psychosozialen Folgen einer Erkrankung, 

der Rekrutierung geeigneter Patienten für klinische Therapiestudien, 
der Fallsuche für epidemiologische Studien oder 

der beschreibenden und analytischen Epidemiologie. 


Diese Aufgabenstellungen werden in verschiedenen Kategorien medizinischer 
Forschung bearbeitet: 


Grundlagenforschung im Labor, die mit Biomaterialien und eventuell 
deren klinischen Begleitdaten („Annotation“) arbeitet und dabei auch 
genetische Daten erzeugt. 

Klinische Studien, die der Prüfung neuer Diagnose- und Therapiever- 
fahren direkt am Patienten dienen. Besonders bei seltenen Erkrankun- 
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gen oder großer Variabilität in den Krankheitsphänomenen müssen die- 
se oft als „multizentrische“ Studien aufgesetzt werden, um genügend 
viele Fälle für statistisch belastbare Aussagen zusammen zu bekommen. 

= Epidemiologische Studien, die Krankheitsursachen und -trends im Be- 
völkerungsbezug erkunden oder die Langzeiteffekte therapeutischer 
Maßnahmen untersuchen. 


Für alle diese Forschungsaufgaben sind genügende Fallzahlen oft nur durch 
Kooperation und Vernetzung zu erreichen; oft sind Langzeitspeicherung und 
-auswertung von Daten notwendig. In aller Regel werden Daten benötigt, die 
direkt bei der Versorgung von Kranken entstehen und daher einen stetigen 
Datenfluss aus der Versorgung in die Forschung erfordern. Die medizinische 
Forschung wird zunehmend in Forschungsverbünden zusammengefasst, die 
meistens krankheitsspezifisch orientiert sind und die Kooperation verschie- 
dener Forschungsprojekte zum Ziel haben („horizontale Vernetzung“) sowie 
den Daten- und Informationsfluss zwischen Versorgung und Forschung ver- 
bessern sollen („vertikale Vernetzung“), wie in Abbildung 3 illustriert. 


In den folgenden Abschnitten dieses Kapitels werden die Abläufe in der medi- 
zinischen Forschung und ihr Nutzen für die betroffenen Patienten zunächst 
an zwei Fallbeispielen illustriert; daraus werden allgemeine Beschreibungen 
grundlegender Prozesse, insbesondere im Hinblick auf die Datenverarbeitung, 


Forschungs- 


Forschung zentren 


allgemeinversorgende Kliniken, 
Reha-Einrichtungen 


Ya Arzt, Praxis 


Patient, 
Patientenorganisation 


Versorgung 


Abb.3 Horizontale und vertikale Vernetzung in einem Forschungsverbund 
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abgeleitet. Danach folgt ein Ansatz zu einer formalen Spezifikation der Pro- 
zesse in Form von „Use Cases“; diese Spezifikation selbst wird wegen ihres 
Umfangs und ihres formalen Stils als Anhang inklusive umfangreichem Be- 
gleitmaterial online zur Verfügung gestellt®. 


3.1 Fallbeispiele 


Die beiden folgenden Fallbeispiele sind bezüglich der vorgestellten Patienten 
und der Zukunftserwartungen fiktiv, beschreiben aber die Abläufe in typi- 
schen Projekten der medizinischen Verbundforschung realistisch. 


3.1.1 „Kleine Petra“® 


Bei der einjährigen Petra wird in der Mühlbach-Klinik in Saulheim ein Nie- 
rentumor (Wilms-Tumor, Nephroblastom) diagnostiziert. Die Mühlbach-Kli- 
nik arbeitet im Kompetenznetz Pädiatrische Onkologie und Hämatologie 
(KPOH) mit. 


Mit dem KPOH ist das Deutsche Kinderkrebsregister (vgl. Kap. 5.3) assoziiert. 
Hier werden Daten über einen langen Zeitraum akkumuliert und u.a. für Spät- 
folgestudien genutzt. Außerdem sind mit dem KPOH eine Reihe multizentri- 
scher klinischer Studien (vgl. Kap. 5.2) zu verschiedenen Therapiemethoden 
assoziiert, z.B. die Nephroblastomstudie SIOP2001, die u.a. klären soll, ob die 
postoperative Behandlung mit zusätzlicher Gabe des Zytostatikums Doxoru- 
bicin bei Patienten mit einem lokalen Stadium II oder III bei intermediärer 
Malignität für einen maximalen Therapieerfolg notwendig ist. Darüber hin- 
aus sammelt das KPOH Tumorgewebe (vgl. Kap. 5.4), um dieses genetisch zu 
analysieren und u.a. mögliche Gründe für die Disposition zu einem Wilms- 
Tumor und prognostische Faktoren für individuell verschiedenes Ansprechen 
auf die Therapie zu finden. 


Der behandelnde Arzt erläutert den Eltern die Auswirkungen eines Wilms-Tu- 
mors, Sinn und Abläufe des KPOH und des Krebsregisters sowie die möglichen 
Erfolgsaussichten und Risiken bestehender und neuer, zu evaluierender The- 
rapieoptionen. Der behandelnde Arzt fragt dann die Eltern 


= obsie der Aufnahme von Petra in das Kinderkrebsregister zustimmen, 

= obsieder Teilnahme von Petra an der Nephroblastomstudie zustimmen 
sowie 

= ob sie der Aufbewahrung von Gewebe und Proben auch für künftige 
Analysen zustimmen. 


4 Alle Anhänge siehe unter http://www.tmf-ev.de/datenschutz-leitfaden 
5 Diese fiktive Geschichte ist eine Überarbeitung einer von K. Pommerening und N. Graf für das Kompetenznetz 
Pädiatrische Onkologie und Hämatologie entworfenen Version. 
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Die Eltern stimmen alledem zu, weil sie wissen, dass neue Therapieoptionen 
aufgrund der notwendigen systematischen Evaluation zunächst nur im Rah- 
men von Forschungsprojekten zur Anwendung kommen können. Sie vertrau- 
en auf eine sorgfältige und qualitätsgesicherte Behandlung und Betreuung 
im Rahmen des Forschungsnetzes. Petra wird an die Studienzentrale der Ne- 
phroblastomstudie und gleichzeitig an das Kinderkrebsregister gemeldet. 


Ein Kernspin-Tomogramm wird zum Referenzradiologen geschickt. Der Refe- 
renzradiologie und die Studienleitung teilen den Befund der referenzradio- 
logischen Beurteilung der Mühlbach-Klinik in einem gemeinsamen Schreiben 
mit. In diesem Schreiben wird zu folgenden Punkten Stellung bezogen: 


= Die durchgeführte Diagnostik ist ausreichend, um eine sichere Diagnose 
zu stellen, oder sie muss durch bestimmte aufgeführte Untersuchungen 
ergänzt werden. 

= Die Therapie der Patientin kann entsprechend dem Studienprotokoll be- 
ginnen oder muss abgeändert werden. 


Nach präoperativer Behandlung wird Petra operiert und natives Tumormate- 
rial zu wissenschaftlichen Untersuchungen zusammen mit einer Blutprobe 
an die Biomaterialbank für Nephroblastome des KPOH geschickt. Gewebe- 
schnitte werden über den lokalen Pathologen zum Referenzpathologen des 
KPOH zur Sicherung der exakten Diagnose weitergeleitet. 


Der Studienleiter, der der führende deutsche Experte für Wilms-Tumoren ist, 
teilt Petra aufgrund der exakten Diagnose und einer Randomisierung einem 
Studienarm mit festgelegtem Therapieablauf zu. Falls eine Strahlentherapie 
erforderlich ist, wird der Referenzstrahlentherapeut der Studie mit Hilfe der 
in der Studienzentrale vorliegenden Daten einen Bestrahlungsplan für Petra 
erstellen. Eventuell müssen weitere Bilder und Daten von der Mühlbach-kli- 
nik angefordert werden. 


Während der Durchführung steht der Studienleiter jederzeit zur Konsultation 
für die behandelnde Klinik zur Verfügung. Therapieverlaufsdaten werden re- 
gelmäßig an die zentrale Studiendatenbank, außerdem in stark reduzierter 
Form an das Kinderkrebsregister übermittelt. Informationen über auftreten- 
de ernste Nebenwirkungen (so genannte SUSARs) werden von der Studienzen- 
trale allen beteiligten Studienkliniken kurzfristig weitergeleitet. 


Nach fünf Monaten mit Chemotherapie und Operation wird Petra als geheilt 
entlassen. Nach weiteren zwei Jahren wird Petra zu einer Nachuntersuchung 
eingeladen. Petra ist rezidivfrei. 


Ein Jahr später wird die Studie abgeschlossen und ausgewertet: Kinder mit 
reduzierter Zytostatikagabe wurden genauso oft geheilt und hatten signifikant 
weniger unter Nebenwirkungen zu leiden als die Vergleichsgruppe. 


In ihrem achtzehnten Lebensjahr wird Petra vom Kinderkrebsregister ange- 
schrieben und um ihre Zustimmung zur weiteren Aufbewahrung ihrer Daten 
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gebeten. Gleichzeitig wird sie zu einer Spätfolgenstudie eingeladen und dabei 
zu ihrem Gesundheitszustand befragt. Für eine weitere Studie zur Lebens- 
qualität von ehemaligen Wilms-Tumor-Patienten gibt Petra die Auskunft, dass 
sie trotz einer fehlenden Niere ein normales Leben führt. 


Eine zwischenzeitlich gefundene neue Analysemethode - die zur Zeit der Ge- 
webeeinlagerung noch nicht bekannt war - hat ergeben, dass Petras Risiko, 
einen weiteren Wilms-Tumor - etwa an der zweiten Niere - zu bekommen, 
sehr gering ist. Ebenso kann ihr mitgeteilt werden, dass für eigene Kinder 
kein erhöhtes Risiko besteht, an einem Nephroblastom zu erkranken. Da sie 
einer Rückmeldung solcher Analyseergebnisse zugestimmt hatte, kann sie 
diesen Befund mit Erleichterung zur Kenntnis nehmen. 


3.1.2 „Kleiner Timo“ 


Als Timo geboren wurde, fiel sofort auf, dass seine Haut an mehreren Stellen 
verletzt war. Der hinzugezogene Dermatologe stellte die Verdachtsdiagnose 
einer Epidermolysis bullosa (EB). Es handelt sich um eine seltene erbliche 
Hauterkrankung, bei der aufgrund verschiedener Gendefekte der Zusammen- 
halt zwischen den Schichten der Haut gestört ist. Schon geringe Traumata 
können dann zur Blasenbildung von Haut und Schleimhäuten führen, denen 
je nach Typ der Erkrankung weitere Komplikationen folgen können. Eine ur- 
sächliche Therapie ist noch nicht bekannt, nur eine symptomatische Behand- 
lung ist bisher möglich. 


Aufgrund ihres seltenen Vorkommens (ca. ı Fall pro 100.000 Geburten) kann 
die Erkrankung nur sehr schwer erforscht werden: Einzelne Zentren erreichen 
keine ausreichenden Fallzahlen für statistisch signifikante Auswertungen. 
Aus diesem Grund wurden für eine Reihe von seltenen Erkrankungen For- 
schungsnetze gegründet, in denen ihre Behandlung und Erforschung einrich- 
tungsübergreifend und überregional durchgeführt wird (vgl. Kap. 6.7.5). 


Timo wird an ein spezialisiertes Zentrum innerhalb des Netzwerks Epidermo- 
lysis bullosa überwiesen. Dort kann die Diagnose mit Hilfe einer Biopsie ge- 
sichert werden. Zu diesem Zeitpunkt werden Timos Eltern über das Netzwerk 
informiert. Im Rahmen eines Aufklärungsgesprächs wird ausführlich auf die 
Möglichkeiten zur regelmäßigen Beobachtung und Behandlung der Erkran- 
kung innerhalb des Netzwerks eingegangen. Außerdem wird diskutiert, wie 
durch die Zusammenstellung und Auswertung der Beobachtungen und Unter- 
suchungen an Timo und anderen Betroffenen das Wissen über die Erkrankung 
vermehrt und die Chancen, eine ursächliche Therapie zu finden, verbessert 
werden können. Hierbei wird auch über die Erhebung von Daten und ihre 
Weitergabe und Verarbeitung in pseudonymisierter Form innerhalb des Netz- 
werks gesprochen. Die Pseudonymisierung ermöglicht hierbei sowohl einen 
effektiven Schutz der persönlichen Daten als auch die Chance einer späteren 
Kontaktierung des Patienten, falls aufgrund relevanter Forschungsergebnisse 
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ein berechtigtes Interesse dazu besteht. Vor dem Hintergrund, dass es sich bei 
der Epidermolysis bullosa um eine seltene, stigmatisierende Erkrankung han- 
delt, wird ebenfalls darauf eingegangen, dass das Risiko einer ungewollten 
Reidentifikation eines Patienten nicht völlig ausgeschlossen werden kann. 
Für Timos Eltern überwiegt jedoch die Möglichkeit, von neuen Behandlungs- 
optionen zu profitieren, die angesprochenen Risiken, so dass sie für Timo die 
Einwilligung zur Teilnahme am Netz geben. Zudem wollen sie die Forschung 
in diesem für sie persönlich wichtigen Bereich der Medizin unterstützen. 


Im Rahmen der Aufnahmevisite werden standardisierte Untersuchungsbe- 
funde erhoben und Timos Eltern zu Symptomen und zum Befinden befragt. 
Die Daten werden anschließend in die Erhebungssoftware des Netzwerks ein- 
getragen. Da das Netzwerk EB versorgungsnah arbeitet, werden die Erhe- 
bungsbögen von den behandelnden Ärzten selbst oder von beauftragten Do- 
kumentationsassistenten eingegeben (vgl. Kap. 5.1). Mit Hilfe der entnom- 
menen Gewebeproben wird der exakte Subtyp der EB diagnostiziert und eine 
Mutationsanalyse zur Feststellung des ursächlichen Gendefekts durchgeführt. 
Die hierbei ermittelten Daten werden ebenfalls in der Erhebungssoftware ge- 
speichert. Im Behandlungszusammenhang darf es nicht zu Verwechslungen 
kommen, daher wird an dieser Stelle nicht mit Pseudonymen, sondern mit 
den Namen und Geburtsdaten der Patienten (identifizierende Daten) gearbei- 
tet. Um unerlaubte Zugriffe zu verhindern, werden die identifizierenden und 
die medizinischen Daten in getrennten Systemen an räumlich und organisa- 
torisch verschiedenen Standorten des Netzwerks gespeichert und erst aufdem 
Rechner des behandelnden Arztes zusammengeführt. 


Timos weitere Behandlung wird heimatnah fortgesetzt, wobei auf Fachinfor- 
mationen und Therapiehinweise des Netzwerks EB zurückgegriffen werden 
kann. Ärzte des Netzwerks stehen im Rahmen des Behandlungszusammen- 
hangs für Rückfragen der Ärzte vor Ort zur Verfügung. In regelmäßigen Ab- 
ständen stellen sich Timo und seine Eltern wieder in einer klinischen Einrich- 
tung des Netzwerks für eine Follow-up-Untersuchung vor. Hierbei kann der 
klinische Verlauf mit Hilfe der bereits erhobenen Daten verfolgt und die Daten- 
bank des Netzwerks um die aktuellen Befunde ergänzt werden. 


Ein Blick in die Zukunft: Timo ist inzwischen erwachsen. Neben der Tatsache, 
dass er nur eine leichte Form der Erkrankung hat, trägt die Betreuung im Netz- 
werk wesentlich zu seiner Lebensqualität bei. Da er jetzt selbst über die Teil- 
nahme an der Studie entscheiden muss, wird ein erneutes Aufklärungsge- 
spräch mit ihm geführt und er gibt seine Einwilligung. In der Zwischenzeit 
wurden mit Hilfe der gesammelten Daten und Gewebeproben (vgl. Kap. 5.4) 
erste Ansätze für eine ursächliche Therapie entdeckt, die aber noch weiter 
untersucht werden müssen. Timo hofft, dass er hierzu einen Beitrag leisten 
und vielleicht selbst einmal im Rahmen einer Therapiestudie davon profitie- 
ren kann. Er willigt deshalb auch ein, für zukünftig geplante Studien kontak- 
tiert zu werden (vgl. Kap. 3.2.4.5). 
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3.1.3 Allgemeine Aspekte 


Einige allgemeine Aspekte medizinischer Forschung werden aus diesen Fall- 
beispielen deutlich: 


3.2 


Krankenversorgung und medizinische Forschung sind eng verzahnt: Für 
beide Bereiche werden gleiche Daten benötigt; Studienleiter wirken bei 
Studien oft konsiliarisch an der Behandlung mit, ebenso andere Exper- 
ten im Netz, z.B. im Rahmen der Referenzdiagnostik, die eine unmit- 
telbare Auswirkung auf die Behandlung haben kann. 
Forschungsverbünde können viele Komponenten und kooperierende 
Teilprojekte haben. 

Überregionale oder internationale Kooperationen sind notwendig, ins- 
besondere um bei seltenen Erkrankungen ausreichende Fallzahlen zu- 
sammen zu bekommen, aber auch um das Wissen hoch spezialisierter 
Experten einzubinden. 

Langfristige Datenspeicherung und Probenaufbewahrung sind notwen- 
dige Grundlage für den medizinischen Fortschritt; viele Forschungs- 
projekte wären sonst nicht durchführbar. 

Medizinische Forschung nützt manchmal dem Patienten selbst, oft aber 
erst künftigen Patientengenerationen. Trotz dieses Wissens ist die Moti- 
vation der Patienten zur Teilnahme an Forschungsprojekten sehr hoch; 
sie möchten natürlich jede Chance eines möglichen persönlichen Nutzens 
wahrnehmen, haben aber in den allermeisten Fällen auch den Wunsch, 
dass aus ihrem Fall Hilfe für künftige Leidensgenossen entstehen soll [7]. 


Prozesse und Abläufe im medizinischen Forschungsverbund 


Die Komponenten in einem medizinischen Forschungsverbund, deren Rolle 
in den Fallbeispielen ansatzweise illustriert wurde, sind auf verschiedenarti- 
ge medizinische Forschungsprojekte zugeschnitten und spiegeln deren Be- 
sonderheiten: 


Kontrollierte klinische Studie, die eine konkrete Zielsetzung in Gestalt 
der Prüfung einer Hypothese hat. Solche Studien sind häufig durch AMG 
(und MPG) sowie GCP-Richtlinien reguliert [8]. 

Klinisches Register, z.B. Krebsregister, das der langfristigen lokalen oder 
regionalen Dokumentation von Fällen einer bestimmten Erkrankung dient. 
Klinisches „Datawarehouse“, in dem Patientendaten eines Krankenhauses 
in aufbereiteter Form langfristig für Auswertungen, künftige Forschungs- 
projekte und „Rekrutierung“ geeigneter Fälle aufbewahrt werden. 
Epidemiologisches Register, das langfristig und bevölkerungsbezogen 
angelegt ist. 

Kohorte, die zur Langzeitbeobachtung einer festen Teilmenge der Bevöl- 
kerung eingerichtet wird. 
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= Klinische Datenbank als einrichtungsübergreifendes Register zur Erfor- 
schung seltener oder chronischer Erkrankungen, bei denen oft zunächst 
nur systematische Datensammlungen im Rahmen von Beobachtungs- 
studien und Heilversuchen möglich sind; manchmal ergänzt um einen 
ständigen Erfahrungsaustausch von Experten zu konkreten Patienten- 
daten. 

= Bilddatenbank, in der medizinische Bilder gesammelt, aufbereitet, 
durch Daten des Patienten ergänzt und in geeigneter Form als Referenz- 
material für Versorgung, Forschung und Lehre zur Verfügung gestellt 
werden. 

= Biobank, in der Rohmaterial für die klinische und translationale For- 
schung, sowie die genetische Epidemiologie gesammelt wird. 


In einem krankheitsbezogenen Forschungsverbund kooperieren solche ver- 
schiedenen Projekte, Studien und Register oft in größerer Anzahl. Selbstver- 
ständlich werden solche Projekte sehr häufig auch als eigenständige Vorhaben 
ohne Einbindung in ein Netzwerk durchgeführt. 


Eine Beschreibung der dabei ablaufenden Prozesse ist die Grundlage zum Ent- 
wurf einer IT-Architektur und zur Analyse der Datenverarbeitungserforder- 
nisse unter dem Gesichtspunkt datenschutzrechtlicher Anforderungen. Im 
Folgenden werden die wichtigsten direkt aus der Zweckbestimmung des For- 
schungsprojekts oder -verbunds sich ergebenden notwendigen Abläufe, ihr 
jeweiliger Zweck und ihre Grobstruktur beschrieben. Verfeinerungen, insbe- 
sondere datenschutzrechtlicher Natur, werden später in den unterschiedli- 
chen Anwendungsbereichen hieraus abgeleitet. Ein Ansatz zu einer stärker 
formalisierten und detaillierteren Beschreibung wird im folgenden Kapitel 3.3 
vorgestellt; diese Formalisierung erleichtert auch eine Vollständigkeitsprü- 
fung und isteine wichtige Hilfe bei der Implementierung in einem IT-System. 


Die Prozessabläufe bei der Datengewinnung (s. Kap. 3.2.1), beim Datenma- 
nagement (s. Kap. 3.2.2) und bei der Datenauswertung (s. Kap. 3.2.3.5) werden 
in Abbildung 4 grob skizziert. 


3.2.1 Datengewinnung 


3.2.1.1 Patienten aufnehmen 


Zweck und Anwendungsbereich: Daten oder Proben eines Patienten, der für ein For- 
schungsprojekt oder einen Forschungsverbund geeignet erscheint, sollen für 
die entsprechenden Daten- oder Probenbanken (Studie, Register, Kohorte, 
Datenbank, Biobank) in dem Umfang bereitgestellt werden, der dem jeweili- 
gen Datenmodell entspricht. Voraussetzung ist eine informierte Einwilligung 
des Betroffenen (s. Kap. 3.2.3.1). 
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Abb.4 Komponenten des Datenmanagements in einem Forschungsprojekt oder -verbund. Die 
Prozessierung von Proben verläuft analog. 


Prozessablauf: Der Patient erscheint zur Behandlung, wird als geeignet für die 
Teilnahme am Forschungsverbund (bzw. einem Forschungsprojekt oder einer 
Komponente des Forschungsverbunds) eingeschätzt. Es findet ein Aufklä- 
rungsgespräch statt, die Einwilligung des Patienten wird eingeholt 
(s. Kap. 3.2.3.1). In der Regel wird für das Projekt eine zusätzliche Referenz- 
befundung veranlasst. Handelt es sich um eine klinische Studie (s. Kap. 3.2.5.1) 
oder eine Biobank (s. Kap. 3.2.5.2), sind evtl. weitere Schritte nötig. Kontakt- 
daten des Patienten werden für das Kontaktmanagement (s. Kap. 3.2.3) er- 
fasst. In der Regel werden auch wichtige medizinische Daten in einem „Er- 
sterhebungsbogen“ an die Datenbank des Projekts oder die passenden Daten- 
banken des Forschungsverbunds übermittelt. 


3.2.1.2 (Gesunden) Probanden aufnehmen 


Zweck und Anwendungsbereich: Für viele Typen von Studien werden gesunde Per- 
sonen als Vergleichspersonen zur Gewinnung oder Prüfung von Hypothesen 
benötigt. So wird etwa in einer epidemiologischen Fall-Kontroll-Studie die 
Frage verfolgt, ob eine vorhandene Gruppe von Erkrankten einer bestimmten 
Exposition in anderem Ausmaß ausgesetzt war als eine Vergleichsgruppe von 
Gesunden. Anwendungsbereiche dieses Prozesses sind epidemiologische Re- 
gister, Kohorten und Biobanken. 
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Prozessablauf: Im Gegensatz zu Patienten müssen gesunde Probanden erst ge- 
funden werden; wie das geschieht, ist projektspezifisch. Dann laufen Auf- 
klärung, Einwilligung, Kontaktdatenerfassung und Ersterhebung wie bei Pa- 
tienten ab. Ein Behandlungszusammenhang entsteht für gesunde Probanden 
nur, wenn zur Datengewinnung medizinische Diagnostik notwendig ist oder 
wenn Proben abgenommen werden, nicht aber bei einer bloßen Befragung 
oder Datenerhebung. 


3.2.1.3 Daten erheben 


Zweck und Anwendungsbereich: Es werden die für das jeweilige Projekt (Studie, Re- 
gister, Kohorte, Biobank) oder den Forschungsverbund gemäß dem Daten- 
modell nötigen Daten erhoben und zur Speicherung an die entsprechende(n) 
Datenbank(en) übermittelt. 


Prozessablauf: Nach der Aufnahme in das Forschungsprojekt oder den For- 
schungsverbund (s. Kap. 3.2.1.2) erfolgt die primäre Datenerhebung (für Stu- 
die, Register, Kohorte, Biobank). Bereits vor der Aufnahme gewonnene Daten 
aus dem Behandlungszusammenhang werden für das Projekt oder den For- 
schungsverbund bereitgestellt. Zusätzliche Daten werden durch projektspezi- 
fische Prozeduren, z.B. Referenzbefundung oder Befragung gewonnen. Die 
Daten werden entweder über ein EDC-System oder eine Export-Schnittstelle 
an die entsprechende Datenbank übermittelt. Analog wird bei Follow-up-Da- 
ten (z.B. bei späterer Weiterbehandlung oder Nachbefragung) verfahren. Für 
Besonderheiten bei Biobanken siehe Kapitel 3.2.5.2. 


3.2.1.4 Daten mit externen Quellen abgleichen 


Zweck und Anwendungsbereich: Für manche Projekte (z.B. epidemiologisches Re- 
gister, Kohorte, evtl. klinisches Register) ist es wichtig, auch Daten aus an- 
deren Quellen heranzuziehen, die sonst nicht zu gewinnen wären, beispiels- 
weise Sterbedaten aus dem Einwohnermeldeamt für ein epidemiologisches 
Register, um Sterblichkeitsraten und Überlebenszeiten analysieren zu kön- 
nen. Der umgekehrte Fall, dass Daten des Forschungsverbunds für ein anderes 
Projekt zum Abgleich herangezogen werden, wird unter dem Stichwort 
„Datennutzung“ in Kapitel 3.2.4.7 behandelt. 


Prozessablauf: Es wird eine Anfrage an die externe Datenquelle gestellt und von 
dieser (nach Überprüfung der Rechtslage) eine Exportdatei mit den benötigten 
Daten zurückgeliefert. In der Regel werden die Daten für den Abgleich nur 
pseudonymisiert bereitgestellt, eventuell wird ein Datentreuhänder einge- 
schaltet. 
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3.2.2 Datenmanagement 


Für das Datenmanagement istin der Regel gesondert geschultes Personal not- 
wendig, das hier in der Rolle „Datenmanager“ zusammengefasst wird. Es 
handelt sich dabei meist um Informatiker, Biostatistiker oder medizinische 
Dokumentare. Der Datenmanager betreut eine oder mehrere Datenbanken 
auf der inhaltlichen Ebene; die technische Betreuung ist eine gesonderte Auf- 
gabe, die nicht zum eigentlichen Datenmanagement gehört, allerdings bei 
kleineren Projekten oft in Personalunion bearbeitet wird. Das Datenmanage- 
ment schließt oft auch Auswertungen ein. 


3.2.2.1 Rechte vergeben 


Zweck und Anwendungsbereich: Der Umgang mit medizinischen Daten in einem 
Forschungsprojekt oder -verbund erfordert eine sorgfältige Regelung der Zu- 
griffsrechte, die durch Rollenzuweisungen strukturiert wird und dem „Need- 
to-know“-Prinzip folgt (s.a. Kap. 6.2). Grundlage dafür sind die in einer Policy 
festgeschriebenen Regeln des Forschungsverbunds. 


Prozessablauf: Zugriffsrechte sind an Personen oder Rollen gebunden; für die 
konkrete Zuweisung ist der Datenmanager der jeweiligen Datenbank verant- 
wortlich. In einigen Fällen, z.B. bei der Mit- oder Weiterbehandlung ist es 
auch sinnvoll, den Patienten aktiv einzubeziehen. Für die Rechte- und Rollen- 
verwaltung werden geeignete Werkzeuge genutzt. Dabei wird auch überprüft, 
ob die vergebenen Rechte mit der Richtlinie („Policy“) des Forschungsprojek- 
tes oder Forschungsverbunds konsistent sind. 


3.2.2.2 Datenqualität sichern 


Zweck und Anwendungsbereich: Daten, die an eine Datenbank übermittelt werden, 
sind oft fehlerbehaftet, unvollständig oder anderweitig nicht unmittelbar für 
den intendierten Zweck geeignet; beispielsweise können Eingabefehler auf- 
treten, oder die Daten stammen aus einem anderen Kontext mit anderer Ziel- 
setzung (z.B. aus dem Behandlungskontext, wo eine Nebendiagnose mangels 
Abrechnungsrelevanz nicht erfasst wurde) oder mit anderem Datenmodell 
(z.B. mit anderen Klassengrenzen bei der Diskretisierung von Merkmalen). 
Die Datenqualitätssicherung sorgt dafür, dass die Daten für das jeweilige For- 
schungsprojekt so aufbereitet werden, dass sie die notwendigen Anforderun- 
gen an Korrektheit und Vollständigkeit erfüllen. 


Prozessablauf: Datenüberprüfung schon bei Eingabe, z.B. auf Vollständigkeit 
und Plausibilität, soweit möglich im EDC-System automatisiert. Oft, beson- 
ders bei klinischen Studien, wird für die Datenerfassung auch besonders ge- 
schultes Personal („Studienassistenten“, „Study Nurses“) eingesetzt. Bei Feh- 
lern oder Zweifelsfällen erfolgt eine Rückfrage an die Datenquelle und ggf. 
eine Korrektur der Daten. In besonderen Fällen, vor allem bei klinischen Stu- 
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dien (s. Kap. 3.2.5.1) ist auch ein Rückgriff des Datenmanagers auf die Quell- 
daten zur Verifikation notwendig. Eine detailliertere Beschreibung folgt in 
Kapitel 6.8. Zur Datenqualitätssicherung gehört auch das Monitoring 
(s. Kap. 6.8.3.2). 


3.2.2.3 Audit durchführen oder unterstützen 


Zweck und Anwendungsbereich: Ein Audit-Verfahren dient der Überprüfung, ob die 
in den verbindlichen Verfahrensbeschreibungen („SOPs“) festgelegten Abläu- 
fe eingehalten werden. Ein solches Verfahren wird in der Regel von einem 
externen (vertrauenswürdigen) Auditor durchgeführt. 


Prozessablauf: Ein Audit-Verfahren umfasst den Vor-Ort-Besuch bei allen am 
Forschungsprojekt oder -verbund beteiligten Stellen und dort jeweils die Kon- 
trolle aller Verfahrensdokumentationen und Abläufe; Einblicke in die Daten 
müssen, soweit notwendig, gewährt werden. Einblick in Identitätsdaten ist 
dabei in der Regel nicht notwendig (s.a. Kap. 6.8.2.5). 


3.2.2.4 Unerwartete Ereignisse managen 


Zweck und Anwendungsbereich: Unerwartete Ereignisse von medizinischer Relevanz 
können in jedem klinischen Forschungsprojekt auftreten und führen zu be- 
stimmten Kommunikationsanforderungen. Besonders gesetzlich geregelt sind 
diese im AMG für klinische Studien mit einem besonderen, pharmakologisch 
begründeten Risikopotenzial für die Probanden. Neben der behandlungssei- 
tigen, klinischen Dokumentation solcher Ereignisse ist somit auch eine Do- 
kumentation im Zusammenhang mit dem Forschungsprojekt notwendig. 


Prozessablauf: Unerwartete Ereignisse sind von den behandelnden Ärzten zu 
dokumentieren und ggf. an zuständige Forscher zu kommunizieren. Dabei ist 
im Regelfall eine Einstufung des Schweregrads des Ereignisses und der Wahr- 
scheinlichkeit eines Zusammenhangs mit derim Rahmen des Forschungsvor- 
habens ggf. durchgeführten Intervention vorzunehmen. Schwerwiegende 
unerwartete Ereignisse (SAEs) sind in Studien nach dem Arzneimittelrecht 
vom Prüfer an den Sponsor zu melden. Abhängig von dem Schweregrad eines 
Ereignisses sind ggf. auch Ethikkommissionen und zuständige Behörden zu 
informieren. 


3.2.2.5 Daten zwischen den Modulen eines Forschungsverbunds übermitteln 


Zweck und Anwendungsbereich: Ein Forschungsverbund besitzt meist mehrere Daten- 
banken mit unterschiedlicher Zweckbestimmung, z.B. ein klinisches und ein 
epidemiologisches Register, in denen dennoch die Daten zu den gleichen Pa- 
tienten vorgehalten werden können. Um mehrfache Datenerhebung zu ver- 
meiden und die Datenbestände konsistent zu halten, sind Datenabgleiche zwi- 
schen diesen Datenbanken notwendig (genauer beschrieben in Kap. 6.3 bis 6.5). 
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Prozessablauf: Es kann sich um einen kontinuierlichen Datenabgleich handeln, 
der zeitnah mit der Entstehung neuer Daten durchgeführt wird, oder um 
einen in regelmäßigen Abständen, dann meist manuell, angestoßenen Pro- 
zess. Festlegungen aus der Einwilligungserklärung sind hierbei zu beachten, 
etwa wenn ein Patient nicht an allen passenden Projekten des Forschungsver- 
bunds teilnehmen will. 


3.2.2.6 Daten und Dokumente archivieren 


Zweck und Anwendungsbereich: Die Nachprüfbarkeit von Forschungsergebnissen 
erfordert, dass die verwendeten Daten für unabhängige Verifikationen auch 
nach Abschluss des Projekts vorgehalten werden. 


Prozessablauf: Die zu archivierenden Daten werden in der Regel anonymisiert 
oder pseudonymisiert und dann in einen getrennten Datenbestand überführt. 
Falls die Wahrung der Rechtsverbindlichkeit notwendig ist (wie bei klinischen 
Studien), können Verfahren mit qualifizierter elektronischer Signatur einge- 
setzt werden. Bei Einhaltung anerkannter Qualitätsstandards und einer ent- 
sprechend vollständigen Verfahrensdokumentation können alternativ aber 
auch andere Verfahren zum Einsatz kommen. Nach Überführung in den 
Archiv-Datenbestand werden die Daten aus der ursprünglichen Datenbank 
gelöscht. Ausführliche Hinweise zu diesem Thema finden sich in einem im 
Auftrag der TMF erstellten Rechtsgutachten [9; 10]. 


3.2.3 Kontakt mit Betroffenen 


Wesentliche Prozessabläufe, die den Kontakt zwischen Patienten (oder Proban- 
den) und dem Forschungsverbund betreffen, werden in Abbildung 5 illustriert. 


Gründe für die Kontaktierung von Patienten (oder Probanden) über den Erst- 
kontakt hinaus können sein: 


= eine Erinnerung an die notwendige Weiterbehandlung/Wiedereinbe- 
stellung im Behandlungszusammenhang, 

= die Rückmeldung von Befunden aus einem Forschungsprojekt (z.B. ge- 
netische Disposition) im Rahmen des in der Einwilligungserklärung ab- 
gebildeten Rechts auf Wissen oder Nichtwissen, 

= Nacherhebungen, Befragungen, 

= oder auch die Rekrutierung für neue Projekte. 


Im Normalfall ist der behandelnde Arzt für einen Patienten die Kontaktperson 
zum Forschungsprojekt oder -verbund; dieser kann im Laufe der Behandlung 
allerdings wechseln. In manchen Fällen ist auch ein direkter Kontakt zwischen 
Patient (oder Proband) und anderen Repräsentanten des Forschungsverbunds 
sinnvoll. 
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Patient/Proband 


Aufklärung/Einwilligung 
Behandlung/Befragung 
Datengewinnung 
Kontaktierung 


behandelnder/ 
betreuender Arzt 


Identitätsdaten 
Kontaktdaten 


Rückmeldungen 
(Findings/medizinische Daten) 


Identitätsdaten 


Kontaktmanagement Datenbank 
=&----------- 
Pseudonym 
(bei Rückmeldung) 


Abb.5 Komponenten des Kontaktmanagements in einem Forschungsverbund 


3.2.3.1 Probanden aufklären und Einwilligung einholen 


Zweck und Anwendungsbereich: Medizinische Forschung mit personenbeziehbaren 
Daten erfordert im Regelfall eine informierte Einwilligung der Betroffenen. 
Diese muss vor der Aufnahme in ein Forschungsprojekt oder einen Forschungs- 
verbund eingeholt werden. 


Prozessablauf: Nach einem Aufklärungsgespräch, in dem alle Fragen des Pro- 
banden beantwortet werden, und einer nötigen Bedenkzeit, erfolgt eine 
schriftliche Einwilligung. Das unterschriebene Einwilligungsformular wird 
sicher aufbewahrt und der Umfang der Einwilligung im Kontaktmanagement 
gespeichert. In der Regel wird der Patient vom „Erstbehandler“ durch diesen 
Prozess geführt, bei gesunden Probanden geschieht dies eventuell auch durch 
Forschungspersonal. Ausführliche Informationen zu diesem Prozess finden 
sich bei Harnischmacher et al. [5]. 


3.2.3.2 Kontaktdaten aktualisieren 


Zweck und Anwendungsbereich: Aktuelle Kontaktdaten werden in einer nur dafür 
vorgesehenen Datenbank verwaltet. Diese ist als Teil des Identitätsmanage- 
ments für Patienten und Probanden anzusehen und wird in Kapitel 6.1 aus- 
führlich behandelt. 


Prozessablauf: Die wesentlichen Prozesse sind: Kontaktdaten erfassen, pflegen, 
ändern, löschen. Als Werkzeug dafür kann CRM-Software (Customer Relation- 
ship Management) geeignet sein. 
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3.2.3.3 Auskunft geben 


Zweck und Anwendungsbereich: Betroffene haben das Recht auf Auskunft über die 
von ihnen gespeicherten personenbezogenen Daten. Zudem sind diese auf 
Verlangen der Betroffenen auch zu korrigieren (vgl. Kap. 4.4.1). 


Prozessablauf: Der Betroffene wendet sich an seinen behandelnden Arzt als Kon- 
taktperson zum Forschungsprojekt oder -verbund. Es muss auch möglich sein, 
den Forschungsverbund direkt zu kontaktieren, etwa über das Leitungsgre- 
mium oder einen Datenmanager. Bei dieser Kontaktperson meldet er sein An- 
liegen an. Ein geeigneter Rückmeldemechanismus teilt ihm die verlangte 
Auskunft oder den Vollzug der beantragten Aktion mit. 


3.2.3.4 Ergebnisse mitteilen 


Zweck und Anwendungsbereich: Wenn im Rahmen eines Forschungsvorhabens um- 
fangreiche medizinische Daten gesammelt werden, kann deren Auswertung, 
manchmal auch nach Abschluss des Vorhabens, zu unerwarteten, für den Be- 
troffenen direkt relevanten ärztlichen Beobachtungs- oder Untersuchungs- 
ergebnissen („Findings“) führen, über die ein Patient - im Rahmen der Fest- 
legungen der Einwilligungserklärung - zu informieren ist. 


Prozessablauf: Diese Rückmeldung wird in der Regel über den behandelnden Arzt 
gegeben. Hierzu wird letzterer durch den zuständigen Mitarbeiter des For- 
schungsprojekts gemäß den Regelungen des Forschungsverbunds benachrich- 
tigt; er kontaktiert dann seinerseits den Patienten. In Ausnahmefällen kann 
auch eine direkte Rückmeldung vom Forschungsprojekt an den Patienten vor- 
gesehen sein; hier wird der Betroffene mit Hilfe des Kontakt- oder Identitäts- 
managements kontaktiert. Bei genetischen Befunden sind die Regelungen 
des Gendiagnostikgesetzes zu befolgen, insbesondere die Heranziehung eines 
humangenetisch qualifizierten Arztes. 


3.2.3.5 Daten sperren, anonymisieren oder löschen 


Zweck und Anwendungsbereich: Betroffene haben das Recht, ihre Einwilligung in 
die Verarbeitung, Speicherung und Nutzung personenbezogener Daten zu wi- 
derrufen. In diesem Falle sind die Daten zu sperren, zu anonymisieren oder 
auch zu löschen. Welche dieser Maßnahmen zu treffen ist, hängt von der Art 
des Widerrufs, dem konkreten Anwendungsfall und ggf. auch dem Umfang 
der gespeicherten medizinischen Daten ab. 


Prozessablauf: Der Betroffene wendet sich an seinen behandelnden Arzt als Kon- 
taktperson zum Forschungsprojekt oder -verbund. Es muss auch möglich sein, 
den Forschungsverbund direkt zu kontaktieren, etwa über das Leitungsgre- 
mium oder einen Datenmanager. Daraufhin ist durch das Datenmanagement 
die Sperrung, Anonymisierung oder Löschung der Daten vorzunehmen. Dabei 
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ist auf die korrekte Reihenfolge der Aktionen zu achten, so dass alle Daten- 
sätze über das zuletzt gültige Pseudonym angesprochen werden können und 
eine Rückmeldung zu allen Aktionen erfolgen kann. Die erfolgreiche Durch- 
führung sollte dem Betroffenen zurückgemeldet werden. Dies erfordert, dass 
die Kontaktdaten erst ganz zum Schluss gelöscht werden dürfen. 


3.2.4 Datennutzung 
3.2.4.1 Referenzbefundung einbinden 


Zweck und Anwendungsbereich: Qualitätssicherung der Diagnose durch externen 
Experten, meistens Radiologe oder Pathologe, Zuweisung zu Studienarmen 
bei klinischen Studien. Diese Referenzbefundung ist in der Regel behand- 
lungsrelevant, findet aber gelegentlich auch erst nach dem Tode des Patienten 
statt und dient dann der Qualitätssicherung von Forschungsdaten. 


Prozessablauf: Dem externen Experten wird das benötigte Material übermittelt 
(Proben, Gewebeschnitte) bzw. Zugriff auf die benötigten Daten gewährt 
(Röntgenbilder, mikroskopische Aufnahmen). Er meldet seinen Befund an 
das Forschungsprojekt, in der Regel auch an den behandelnden Arzt zurück. 
Nach Abschluss der Referenzbefundung wird übriges Biomaterial vernichtet 
oder in eine Biobank überführt und der Datenzugriff wieder gesperrt. 


3.2.4.2 Expertenforum organisieren 


Zweck und Anwendungsbereich: In einigen medizinischen Forschungsverbünden 
ist die Einrichtung von Expertenforen sinnvoll, in denen ausgewählte Exper- 
ten medizinische Aspekte von Erkrankungsfällen diskutieren. Dieses Szenario 
ist vor allem bei seltenen Erkrankungen von Bedeutung, aber auch in anderen 
Verbünden notwendig, wenn es um schwierige Diagnosen und Therapieemp- 
fehlungen geht, so z.B. als Erfahrungsaustausch bei Beobachtungsstudien 
und Heilversuchen. 


Ein solches Forum dient der fallbezogenen Diskussion zu einer Erkrankung. 
Konkrete Fragen zu Diagnose oder Therapie können gestellt werden; es sollen 
aber auch spontane Beiträge möglich sein, die Hypothesen oder Ideen formu- 
lieren. 


Teilnehmer des Forums sind namentlich benannte Experten, die persönlich 
zum Forum zugelassen werden. Diese können auch im Ausland ansässig sein. 
Die Liste der Experten sollte dem betroffenen Patienten, idealerweise sogar 
öffentlich zugänglich sein. In der Patientenaufklärung sollte darauf hinge- 
wiesen werden. 


Prozessablauf: Datenspeicherung in einer klinischen Datenbank (behandlungs- 
bezogene Patientendatenbank). Online-Zugang für die Experten, befristet für 
die Dauer der Diskussion, etwa 2 bis 4 Wochen; danach wird der Zugang zum 
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jeweiligen Fall wieder gesperrt. Ein Zugriff auf Identitätsdaten ist hierbei 
nicht notwendig. 


3.2.4.3 Daten an eine Referenzdatenbank weitergeben 


Zweck und Anwendungsbereich: Daten zu einem Krankheitsfall (Kasuistik, Bildma- 
terial, Analysenergebnisse) können als Referenzmaterial für ähnlich gelager- 
te Fälle verwendet werden; das kann gerade im Rahmen von Beobachtungs- 
studien und Heilversuchen sowie bei seltenen Erkrankungen relevant sein. 
Referenzmaterial ist auch im Rahmen von Lehre und Ausbildung nötig. 


Prozessablauf: Qualitätsgesicherte anonymisierte Daten werden über eine Daten- 
bank für Berechtigte angeboten. Hierbei sind angemessene Recherche-Mög- 
lichkeiten vorzusehen. 


3.2.4.4 Machbarkeit eines Forschungsvorhabens prüfen 


Zweck und Anwendungsbereich: Für die Planung eines neuen Forschungsvorhabens 
ist eine realistische Abschätzung erreichbarer Fallzahlen in der geplanten Lauf- 
zeit extrem wichtig. Innerhalb eines wissenschaftlich vertretbaren Rahmens 
können dabei die Ein- und Ausschlusskriterien so lange angepasst werden, bis 
die retrospektive Analyse von Bestandsdaten eine ausreichende Fallzahl signa- 
lisiert. 


Prozessablauf: Zunächst wird in bestehenden Datensätzen nach Patienten ge- 
sucht, die zu den für eine Studie definierten Ein- und Ausschlusskriterien pas- 
sen. Das Ziel der Machbarkeitsprüfung ist eine Abschätzung, ob in einem be- 
stimmten Zeitraum in der Zukunft ausreichend Patienten zu erwarten sind, auf 
die die definierten Ein- und Ausschlusskriterien zutreffen. Die Abfrage kann 
sich auf historische Daten beziehen, die in vielen Fällen die bestmögliche Schät- 
zung für eine Machbarkeit in der Zukunft erlauben. Solche Abfragen können 
daher auch mit anonymisierten Datensätzen durchgeführt werden, zudem soll- 
te nur die Anzahl der passenden Patienten zurückgemeldet werden. Eine Mach- 
barkeitsprüfung kann im Rahmen der Entwicklung eines realistischen Studien- 
designs auch mehrfach mit leicht veränderten Abfragekriterien durchgeführt 
werden. 


3.2.4.5 Rekrutierung unterstützen 


Zweck und Anwendungsbereich: Für neue Studien oder Register werden Patienten oder 
Probanden mit geeigneten Merkmalen benötigt. Wenn in bestehenden Daten- 
banken die Daten geeigneter und ansprechbarer Probanden gespeichert sind, 
so sollten diese im Rahmen einer Rekrutierungsunterstützung gefunden und 
mit den passenden Kontaktdaten verknüpft werden. Relevante Datensammlun- 
gen können sich in einem klinischen Modul oder Forschungsmodul befinden. 
Auch die Analysedaten eines Biobankenmoduls können hierfür geeignet sein. 
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Prozessablauf: Bestehende Datenbanken werden auf Grund von definierten Ein- 
und Ausschlusskriterien nach aktuell kontaktierbaren Probanden mit pas- 
senden Daten durchsucht. Das Ergebnis ist eine Vorschlagsliste, auf deren 
Basis die Probanden vom behandelnden Arzt oder, sofern eine diesbezügliche 
Einwilligung vorliegt, auch aus dem Forschungsprojekt direkt angesprochen 
werden. 


3.2.4.6 Daten auswerten 


Zweck und Anwendungsbereich: Vorhandene Daten werden statistisch ausgewertet. 
Dies kann auf unterschiedlichen methodischen Niveaus geschehen, z.B. als 
beschreibende Statistik zur medizinischen Qualitätssicherung (oder Bench- 
marking) und zur Hypothesengenerierung (oder Data Mining) oder als Infe- 
renzstatistik zur Prüfung vorher formulierter Hypothesen. 


Prozessablauf: Der Datenmanager, der für die Datenbank verantwortlich ist, 
kann einfache Auswertungen direkt durch Datenbankabfragen erstellen. An- 
sonsten wird in der Regel ein Datenexport von der Datenbank in ein für die 
verwendete Statistiksoftware nutzbares Dateiformat durchgeführt; dabei wird 
auf Datensparsamkeit und Anonymität geachtet. 


3.2.4.7 Daten an Forscher weitergeben 


Zweck und Anwendungsbereich: Daten werden für externe Forschungsprojekte oder 
einen externen Datenabgleich gemäß den Regeln des Forschungsverbunds 
bereitgestellt; dabei wird auf Datensparsamkeit und - soweit Personenbezug 
nicht erforderlich ist - auf Anonymität geachtet. 


Prozessablauf: Daten werden in eine für die Weitergabe geeignete Datei expor- 
tiert. Ggf. kann auch ein beschränkter Online-Zugriff auf eine Datenbank ge- 
währt werden. 


3.2.5 Besonderheiten 


Bei klinischen Studien nach AMG oder MPG, bei Bilddatenbanken und bei Bio- 
banken gibt es zusätzlich zu den oben beschriebenen einige spezielle Prozesse, 
die bei anderen Typen medizinischer Forschung nicht auftreten. Besondere 
Prozesse erfordert zudem der Einsatz verteilter IT-Infrastrukturen, diein den 
letzten Jahren unter den Stichworten „Grid-“ und „Cloud-Computing“ einge- 
führt wurden. 


3.2.5.1 Besonderheiten bei klinischen Studien 


Hier gibt es einige durch die GCP-Verordnung vorgeschriebene Besonderhei- 
ten; diese betreffen z.B. 
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die Aufnahme in eine Studie, 

das Erheben von Studiendaten, 

das Auswerten der Studiendaten, 

das Management unerwarteter Ereignisse, 

die Qualitätssicherung der Daten, 

das Archivieren der Daten, 

die Einbindung des Sponsors sowie 

die Überwachung durch die zuständige Behörde 


Diese Anwendungsfälle werden in Kapitel 5.2.2 ausführlicher beschrieben. 


3.2.5.2 Besonderheiten bei Biobanken 


Die Besonderheiten bei Biobanken im Vergleich zu anderen Forschungspro- 
jekten oder Komponenten eines Forschungsverbunds beruhen 


= aufdem Umgang mit biologischem Material (Proben und daraus erzeug- 
ten Derivaten) sowie 

= aufdem unvermeidlichen Entstehen umfangreicher genetischer Infor- 
mationen über den Spender der Probe. 


Der physische Umgang mit Proben reicht von der Materialgewinnung über 
Probeneinlagerung und Aliquotierung bis zur Vernichtung von Restmaterial, 
wenn dieses nicht mehr benötigt wird oder der Spender seine Einwilligung 
widerruft. Die Probennutzung besteht in Analysen, die in der Biobank selbst, 
oft aber auch in externen Speziallabors durchgeführt werden. Eine Proben- 
weitergabe an andere Forschungsprojekte ist oftin derZweckbestimmung der 
Biobank vorgesehen. 


Dieser Problembereich wird in Kapitel 5.4 aufgegriffen, genauere Beschrei- 
bungen aller Anwendungsfälle und Prozesse sind in [2] zu finden. 


3.2.5.3 Besonderheiten bei Bilddatenbanken 


Bilddaten gehören bei vielen medizinischen Fragestellungen sowohl für Be- 
handlungszwecke als auch für die wissenschaftliche Verwendung zum Daten- 
satz einer Person. Zu den bildgebenden Verfahren gehören Röntgen, auch als 
Computer-Tomografie (CT), Kernspin-Tomografie (Magnetresonanz-Tomogra- 
fie, MRT), Szintigrafie, Positronen-Emissionstomografie (PET) oder andere 
nuklearmedizinische Verfahren, sowie Sonografie (Ultraschall), Endoskopie 
und andere optische oder fotografische Verfahren. Aus medizinischen Schicht- 
bildern, insbesondere von CTund MRT, können auch dreidimensionale Bilder 
rekonstruiert werden, die einen sehr genauen und plastischen Einblick in das 
Körperinnere gestatten und manchmal die betroffene Person erkennen lassen 
können. Bilddaten enthalten in der Regel einen Metadatensatz nach dem DI- 
COM-Standard, in dem unter anderem auch identifizierende oder andere für 
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das Individuum charakteristische Daten enthalten sind. Oft sind, z.B. bei 
Ultraschallbildern, solche Daten auch direkt in das Bild „eingebrannt“,. 


Bilder dienen primär zur Befundung und werden somit zunächst im direkten 
Behandlungszusammenhang verwendet. Hierzu gehört in einem Forschungs- 
verbund oder einer klinischen Studie auch die externe Befundung durch einen 
Experten, z.B. einen Referenzradiologen oder auch im Rahmen eines Exper- 
tenforums. Bilder werden aber auch als Referenzmaterial für die Befundung 
anderer Patienten herangezogen, auch in einem Expertenforum (s. Kap. 3.2.4.2 
und 3.2.4.3). Darüber hinaus sind Bilder als Anschauungsmaterial für Lehr- 
zwecke unverzichtbar. 


Aus technischen Gründen - wegen besonderer Datenformate, aber auch we- 
gen des großen Umfangs von Bilddateien - werden Bilder oft nicht zusammen 
mitanderen Daten, sondern in separaten Bilddatenbanken gespeichert. Hier 
müssen natürlich Verweisinformationen vorgesehen sein, die eine korrekte 
Zuordnung der Bilder zu den sonstigen Daten ermöglichen. Ansonsten wer- 
den Bilddaten aus Sicht der Prozessabläufe wie andere medizinische Daten 
verwaltet und genutzt, wobei auf die vorgesehenen Anonymisierungs- oder 
Pseudonymisierungsverfahren besonders geachtet werden muss (s. 
Kap. 6.5.2.3). 


3.2.5.4 Besonderheiten beim Einsatz von Grid- oder Cloud-Computing 


Aufgrund stetig steigender Datenmengen, gerade in den Bereichen der Bild- 
gebung, der genetischen Forschung und der Verarbeitung von Freitexten (Text- 
mining), und den damit einher gehenden ressourcenintensiven Verarbei- 
tungs- und Auswertungsvorgängen, wurden in den letzten Jahren vermehrt 
verteilte Infrastrukturen in der biomedizinischen Forschung aufgebaut und 
für die Datenverarbeitung genutzt‘. Für die Verarbeitung sensibler medizini- 
scher Daten im Grid oder in der Cloud ergeben sich dabei besondere Heraus- 
forderungen: Zum einen steigt mit der zunehmenden Menge der zu einem 
Patienten gespeicherten Daten auch das Reidentifizierungspotenzial, zum 
anderen sind Daten in verteilten Infrastrukturen schwerer vor unberechtigten 
Zugriffen zu schützen. 


Um sensible Gesundheitsdaten auch in verteilten Infrastrukturen datenschutz- 
konform verarbeiten zu können, sind daher sowohl Maßnahmen und Prozes- 
se zur weiteren Absenkung des Schutzbedarfs der Daten notwendig als auch 
organisatorische und ggf. vertragliche Absicherungen eines ausreichenden 
Schutzniveaus im Grid bzw. in der Cloud. Weitere Hinweise zu diesen Maß- 
nahmen und Voraussetzungen finden sich in der Beschreibung des ID-Ma- 
nagements in Kapitel 6.1.3.7. Konkrete Umsetzungsbeispiele sind bzw. werden 


6 z.B. www.medigrid.de, www.pneumogrid.de, www.eu-acgt.org, www.cloud4health.de, www.labimi-f.med.uni- 
goettingen.de 
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in den Ergebnisdokumenten der Projekte PneumoGrid und cloudyhealth be- 
schrieben’. 


3.3 Formale Beschreibung der Anwendungsfälle 


Für die informationstechnische Umsetzung von Anwendungsfällen ist eine 
formalisierte Beschreibung hilfreich; diese unterstützt ein systematisches 
Vorgehen und die Strukturierung des Gesamtsystems, hilft beim Aufdecken 
von Inkonsistenzen und schließlich auch bei der Überprüfung der Vollständig- 
keit der Implementierung. Ein gut geeignetes methodisches Hilfsmittel ist 
die Modellierungssprache UML®, die insbesondere die Diagrammtypen 
Use-Case-Diagramm und Sequenzdiagramm verwendet. 


Das methodische Vorgehen bei der Modellierung der Anwendungsfälle sowie 
illustrative Beispieldiagramme und ein umfangreiches UML-Modell sind im 
Anhang zu finden, der online zur Verfügung gestellt wird.° 


7 s. www.pneumogrid.de und www.cloud4health.de 
8 Unified Modeling Language (http://www.uml.org) 
9 siehe www.tmf-ev.de/datenschutz-leitfaden 
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4.1 Interesse der Patienten - Nutzen für die Forschung” 


Medizinischer Fortschritt ist nicht ohne die Erhebung, Verarbeitung und Aus- 
wertung medizinischer Daten und Proben zu erreichen. Bei der Zusammen- 
führung solcher Daten und Proben zur langfristigen Nutzung sind zunächst 
scheinbar widerstreitende Interessen zu berücksichtigen. An erster Stelle steht 
der wichtigste und ausnahmslos anzunehmende Wunsch jedes Patienten, 
seine individuelle Gesundheit wiederherzustellen bzw. zu erhalten und hier- 
für eine optimale Behandlung zu bekommen. An zweiter Stelle - in Einzelfäl- 
len bereits dem ersten entgegenstehend - steht der ebenso anzunehmende 
Wunsch jedes Patienten, so wenig wie möglich durch den Heilungs- und Be- 
handlungsprozess beeinträchtigt zu werden. Das oberste Ziel der Forschung, 
bessere Behandlungsmöglichkeiten zu finden, ist somit zu den Wünschen der 
Patienten zumeist komplementär. Auf dem Weg dahin benötigen Forscher 
Behandlungsdaten und biologische Proben von Patienten, um daraus epide- 
miologische Informationen zu generieren, neue Behandlungsmethoden zu 
bewerten oder Analyseergebnisse von biologischen Proben mit den Verlaufs- 
daten der Erkrankungen zu korrelieren. Im Ergebnis kann häufig die Behand- 


10 Dieses Kapitel stellt eine Überarbeitung des Kapitels „1 Problemstellung“ des einführenden Abschnitts der 
ersten Version des generischen Datenschutzkonzepts dar [1, S. 2f.]. Einzelne übernommene Formulierungen 
wurden der Lesbarkeit halber nicht separat gekennzeichnet. 
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lung künftiger Patienten verbessert und im besten Fallsogar ein unmittelbarer 
Vorteil an individuelle Studienteilnehmer zurückgegeben werden. 


Alle diese Wünsche, Ziele und Möglichkeiten führen dazu, dass der Daten- 
schutz in der medizinischen Forschung eine herausragende Bedeutung hat 
und haben muss. Es istim gemeinsamen Interesse von Patienten, behandeln- 
den Ärzten und Wissenschaftlern, alle Gefährdungen oder Beeinträchtigun- 
gen der Patienten, die mit der Einwilligung, Diagnostik und Behandlung im 
Rahmen eines Forschungsverbunds für die Medizin verknüpft sind, so gering 
wie möglich zu halten. Zu diesem „Gefährdungspotenzial“ gehört natürlich 
auch der ungeeignete Umgang mit personenbezogenen Daten: Selbst ein un- 
freiwilliger, potenzieller oder latenter Bruch der ärztlichen Schweigepflicht 
bzw. die Missachtung von Datenschutzbestimmungen in diesem Zusammen- 
hang kann das Verhältnis zwischen Patient und Arzt stören und den Bruch 
des Vertrauensverhältnisses zwischen Patient und Forschungsverbund zur 
Folge haben. Als Resultat wären Patienten nicht mehr bereit, dem Forschungs- 
verbund ihr Vertrauen in Form ihrer Mitarbeit zu gewähren, und den For- 
schungsprojekten wäre ihre Existenzgrundlage und Daseinsberechtigung ent- 
zogen. 


Die Forschungsverbünde sind daher aus eigenem Interesse an einer alle Mit- 
glieder umfassenden, praktikablen, transparenten und kontrollierbaren Lö- 
sung interessiert, die hilft, die Datenschutzbelange ihrer Patienten nachhal- 
tigzu wahren. 


4.2 Datenschutzrechtliche Grundlagen 
4.2.1 Informationelle Selbstbestimmung 


Medizinische Forschung muss immer einen Ausgleich zwischen dem Interes- 
se der Allgemeinheit an medizinischem Fortschritt und den Individualinter- 
essen der beteiligten Probanden hinsichtlich der informationellen Selbstbe- 
stimmung anstreben. Die für die Forschung notwendigen Daten werden re- 
gelmäßig als besondere personenbezogene Daten gemäß s 3 Abs. 9 BDSG (Ge- 
sundheitsdaten) anzusehen sein. Die für diese Datenkategorie speziell 
formulierten Forschungsklauseln in $13 Abs. 2 und $ 28 Abs. 6 BDSG normieren 
für den Regelfall einen Vorrang der Verwendung anonymisierter und pseudo- 
nymisierter Daten und der Einholung einer Einwilligung. Nur wenn der For- 
schungszweck auf diesen Wegen nicht oder nur mit einem unverhältnismä- 
ßigen Aufwand erreicht werden kann, kann eine gesetzliche Verwendungs- 
erlaubnis nach $ 13 Abs. 2 Nr. 6 und $ 28 Abs. 6 Nr. 4 BDSG greifen [11]. 


Wenn klinische Daten für ein Forschungsprojekt erhoben werden, ist im Re- 
gelfall die Aufklärung der Patienten und das Einholen einer Einwilligung mög- 
lich. Anders sieht es hingegen aus, wenn die Daten bereits zu einem früheren 
Zeitpunkt im Rahmen der Behandlung der Patienten erhoben wurden und 
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jetzt für die Forschung nutzbar gemacht werden sollen. Einige Landeskran- 
kenhausgesetze (LKG) erlauben die Nutzung und Verarbeitung solcher Daten 
innerhalb der behandelnden Einrichtung auch zum Zwecke der Forschung 
(z.B. Art. 27 [4] BayKrG). Allerdings ist zu beachten, dass sich auch zusätzliche 
Anforderungen durch landesspezifische Gesetze ergeben können, soz.B. eine 
lokale Pseudonymisierung in Verbundforschungsprojekten (vgl. $ 25 [3] LKG 
Berlin). Sollen die Daten aber zum Zwecke der Forschung weitergegeben wer- 
den, bieten selbst weitgehende Regelungen in den Landeskrankenhausgeset- 
zen üblicherweise keine gesetzliche Grundlage. Hier können die speziellen 
Forschungsklauseln der Datenschutzgesetze greifen, wenn die Übermittlung 
der Daten zur Durchführung wissenschaftlicher Forschung erforderlich ist, 
das öffentliche Interesse an dem Forschungsvorhaben das Interesse des Be- 
troffenen an dem Ausschluss einer nicht vereinbarten Nutzung seiner Daten 
erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder 
nur mit einem unverhältnismäßigen Aufwand zu erreichen ist. Hierzu ist al- 
lerdings konkret zu begründen, warum das Forschungsvorhaben nicht mit 
anonymen oder pseudonymen Daten umgesetzt werden kann und die Einho- 
lung der Einwilligung der betroffenen Patienten unzumutbar ist. Zusätzlich 
kann ein Genehmigungsvorbehalt vorgesehen sein (z.B. $ 33 HDSG). Die Höhe 
der hierfür gesetzlich vorgeschriebenen Hürden reflektiert zudem die Auflagen 
der ärztlichen Schweigepflicht nach $ 203 Abs. 1 StGB. 


Die von der TMF beauftragten Rechtsgutachter Roßnagel, Hornung und Jandt 
formulieren dies zusammenfassend so: „Die forschungsspezifischen Daten- 
schutzregelungen lösen somit den regelmäßig bestehenden Konfliktzwischen 
den konkurrierenden Grundrechten der Forschungsfreiheit gemäß Art. 5 
Abs. 3 GG der Daten verarbeitenden Forschungsstellen und dem Recht auf in- 
formationelle Selbstbestimmung der Probanden gemäß Art. 2 Abs. 1 und Art. ı 
Abs. ı GG, indem sie über die Einwilligungsmöglichkeit und die strenge 
Zweckbindung zu einem interessensgerechten Ausgleich der Grundrechte füh- 
ren.“ [11,S. C11] 


Einen Sonderfall stellt die Mitnutzung von Daten für die Forschung dar, die 
zu einem anderen Zweck, z.B. dem der Behandlung oder Abrechnung einer 
Behandlung, erhoben wurden. Das Bundessozialgericht (BSG) kommt in sei- 
nem Urteil vom 10.12.2008 zur Weitergabe von Patientendaten durch Leistungs- 
erbringer an private Abrechnungsstellen zu dem Schluss, dass die datenschutz- 
rechtlichen Regelungen im SGB so umfassend und detailliert ausgeführt sind, 
dass eine nachgeordnete Anwendung des Datenschutzrechts nicht mehr im 
Sinne des Gesetzgebers sein könne |12]. Dementsprechend wären die im SGB 
aufgeführten Daten und insbesondere die Sozialdaten bei den Leistungser- 
bringern gemäß s 284ff SGB V auch bei Vorliegen einer schriftlichen Einwilli- 
gung nicht anders zu verwenden, als dies im SGB konkret vorgesehen ist. Bei 
dieser Auslegung stützt sich das BSG wesentlich auf den Umstand, dass der 
Gesetzgeber an anderer Stelle die Zulässigkeit einer auf eine Einwilligung ge- 
stützten Datenübermittlung durch Leistungserbringer ausdrücklich geregelt 
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hat, so z.B. für den Datenaustausch zwischen Hausarzt und anderen Leis- 
tungserbringern ($ 73 Abs. 1b Satzıund 2 SGB V) [ı2, Abs. 35]. Dass der Gesetz- 
geber in $ 291a (8) SGB V für ganz bestimmte Datenverwendungen eine Ein- 
willigung explizit ausgeschlossen hat (vgl. Kap. 4.3.2), wird in dem Urteil 
hingegen nicht gewürdigt. Dieser explizite Ausschluss einer Einwilligung als 
Rechtsgrundlage würde eher die Schlussfolgerung nahelegen, dass der Gesetz- 
geber grundsätzlich von der Möglichkeit einer Einwilligungsregelung ausgeht. 


In ihrem Rechtsgutachten zur Mitnutzung von Versorgungsdaten in der For- 
schung kommen Roßnagel und Mitarbeiter zu dem Schluss, dass die Abge- 
schlossenheit der Regelungen zum Datenschutz im SGB vom BSG nur für die 
ss 284ff SGB V schlüssig dargelegt ist. Somit wäre auch nur für diesen Aus- 
schnitt des SGB der Ausschluss einer Einwilligung als Rechtsgrundlage für die 
Nutzung in der Forschung anzunehmen |u, S. C7]. Zudem weisen die Gutach- 
ter darauf hin, dass aus datenschutzrechtlicher Perspektive zwei Kategorien 
von Daten zu unterscheiden sind: Zum einen gibt es Daten, die für Zwecke der 
Versorgung erhoben und dokumentiert werden und für die die Regelungen 
des ärztlichen Berufsrechts und ergänzend des Datenschutzrechts gelten. Da- 
von zu unterscheiden sind die Leistungsdaten als krankenversicherungsrecht- 
liche Sozialdaten, die der Abrechnung von Leistungen der Leistungserbringer 
im weitesten Sinne dienen. Nur für den Umgang mit letzteren, so die Gut- 
achter, könnten die abschließenden Regelungen des Zehnten Kapitels des 
SGB V herangezogen werden. Für die Versorgungsdaten seien die Regelungen 
der $ 284ff. SGB V nicht anwendbar, auch wenn ein Datum, wie z.B. die in 
$ 301 Abs. ı Satz ı Nr. 3 SGB V genannte Diagnose, inhaltlich in diesen Rege- 
lungen erwähnt ist. Eine abschließende Regelung für den Umgang mit Diag- 
noseinformationen im SGB würde deren Verwendung zu medizinischen Zwe- 
cken zu sehr einschränken und sei daher nicht vom Gesetzgeber intendiert 
[11, S. C8]. Somit bleibt aus Sicht der Gutachter eine Verwendung von Versor- 
gungsdaten auf Basis einer Einwilligung grundsätzlich möglich, vorausgesetzt 
dass die Daten primär zum Zwecke der Versorgung erhoben wurden und allen- 
falls sekundär auch für die Abrechnung von Leistungen verwendet werden. 


4.2.2 Grenzen von Einwilligungsszenarien 


Die rechtlich zulässige Verwendung medizinischer Daten, die die informatio- 
nelle Selbstbestimmung der Patienten wahren muss, setzt, von wenigen Aus- 
nahmen abgesehen, das Vorliegen einer Einwilligungserklärung voraus. Die- 
se muss freiwillig und ohne Sorge um mögliche Nachteile im Falle einer Ver- 
weigerung gegeben werden. Bei der Gestaltung des Aufklärungs- und Einwil- 
ligungsprozesses ist zu berücksichtigen, dass sich Patienten aufgrund ihrer 
Erkrankung von dem behandelnden Personal abhängig fühlen können, das 
sie um eine Einwilligung bittet. Entsprechend sollte das Gespräch bewusst 
ergebnisoffen geführt werden. Jede Vermittlung einer Erwartungshaltungin 
Bezug auf die Antwort des Patienten ist sorgfältig zu vermeiden. 
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Die Erklärung der Einwilligung muss bestimmt sein, so dass klarzu erkennen 
ist, unter welchen Bedingungen sich die betroffene Person mit der Erhebung, 
Verarbeitung oder Nutzung welcher Daten einverstanden erklärt. Aus diesem 
Grund sind weder Blankoeinwilligungen noch pauschal gehaltene Erklärun- 
gen, die den Betroffenen die Möglichkeit nehmen, die Tragweite ihres Einver- 
ständnisses zu überblicken, ausreichend. Die Anforderungen an die Bestimmt- 
heit sind umso höher, je größer die Tragweite für die Rechte und Freiheiten 
der betroffenen Person sind. Gemäß ş 4a Abs. 3 BDSG bestehen erhöhte An- 
forderungen an die Bestimmtheit, wenn sich die Verwendung auf besondere 
Daten im Sinne des s 3 Abs. 9 BDSG bezieht. Dies schließt explizit Gesund- 
heitsdaten ein. Somit muss für die Einwilligenden klar erkennbar sein, welche 
Daten, in welcher Form, von wem, wie lange und wofür verarbeitet oder ge- 
nutzt werden. 


Je konkreter die Einwilligung formuliert ist, desto einschränkender und unter 
Umständen auch problematischer ist sie für die Forschung, und dies gleich in 
mehrfacher Hinsicht: Je konkreter der Zweck angegeben wird, desto präziser 
kann auch der notwendige Datensatz, der für die Verarbeitung erforderliche 
Personenkreis und die hierfür benötigte Projektlaufzeit bestimmt werden. Im 
Umkehrschluss geht eine zweckoffenere Erhebung und Speicherung im Regel- 
fall auch mit einer geringeren Einschränkbarkeit des Datenumfangs, einer 
längeren Vorhaltung der Daten und einem größeren mit ihrer Verarbeitung 
betrauten Personenkreis einher. Dabei ist es sogar häufig auch im Interesse 
schwer erkrankter Patienten, dass ihre Daten nicht nur einem Forscher mit 
seinen Spezialinteressen zur Verfügung stehen, sondern von möglichst vielen 
Experten zur Verbesserung der Behandlungschancen genutzt werden. 


Dass es in der medizinischen Forschung oft schwer ist, sich auf eine konkret 
benennbare Fragestellung zu beschränken, ist weithin anerkannt [13]. Häufig 
wird daher auch akzeptiert, wenn lediglich krankheitsbezogene Einschrän- 
kungen gemacht werden. Ausnahmen hierzu stellen klinische Prüfungen zu 
Arzneimitteln oder Medizinprodukten dar, die aufgrund der regulatorischen 
Vorgaben und des geforderten Qualitätsniveaus auf eine Festlegung der Aus- 
wertung vor der Datenerhebung angewiesen sind. Aber auch hier kann eine 
längerfristige Speicherung der wertvollen Daten für zusätzliche Fragestellun- 
gen, z.B. zur Generierung neuer Hypothesen, sinnvoll sein. Die Konkretheit 
der Zweckbezogenheit dient letztlich nur so lange ihrem Ziel der informatio- 
nellen Selbstbestimmung, wie die Einschränkungen der Forschungsfragestel- 
lung von der Mehrheit der Patienten auch nachvollzogen und verstanden wer- 
den können. Somit kann auch das Gebot der Verständlichkeit der Einwilli- 
gungserklärung schon eine Aufweichung des Prinzips der möglichst engen 
Definition der Zweckbezogenheit bedeuten. Eine Einschränkung der For- 
schung aufeine konkrete Unterform der Leukämie wird einem Patienten kaum 
einen Informationsgewinn bescheren, wenn er diese Unterform nicht ausrei- 
chend genau von dem Oberkonzept „Leukämie“ unterscheiden kann. 


39 


4 Rechtliche und ethische Rahmenbedingungen 


Jedem Patienten ist hingegen die Unterscheidung zwischen einer zeitlich un- 
beschränkten Speicherung undeiner auf fünfJahre beschränkten unmittelbar 
möglich. Ebenso können Patienten zwischen einer Nutzung der Daten nuran 
einem Klinikum oder auf nationaler oder gar europäischer Ebene unterschei- 
den. Die mit einer zeitlich unbeschränkten Speicherung einhergehenden Ri- 
siken sind jedoch u.U. schwer einschätzbar. 


Während eine in Grenzen zweckoffene Erhebung, Speicherung und Verarbei- 
tung medizinischer Daten dem Prinzip einer informierten Einwilligung häu- 
fig nicht direkt entgegensteht, verdienen die damit regelmäßig verbundenen 
Verschiebungen der organisatorischen Rahmenbedingungen eine gesonderte 
Betrachtung. Die klare Unterscheidbarkeit unterschiedlicher organisatori- 
scher Vorgaben in den Augen der Patienten, wie z.B. der Zeitdauer der Spei- 
cherung, empfiehlt diese für die Berücksichtigung in einer abgestuften Ein- 
willigungserklärung [5, S. 97]". Auch die Methodik der abgestuften Einwilli- 
gungserklärung führt jedoch nicht automatisch zu einer ausreichenden Wahr- 
nehmung bzw. einem informierten Verständnis aller Risiken durch die 
Patienten. 


Mit der verstärkt wahrgenommenen Bedeutung der Biobank-gestützten For- 
schung in den letzten Jahren ist die Diskussion um eine mögliche Lockerung 
der Zweckbezogenheit der Einwilligung unter dem Stichwort „broad consent“ 
erneut und kontrovers geführt worden. Der Deutsche Ethikrat hat in einer 
Empfehlung zu Humanbiobanken für die Forschung gar gesetzlich geregelte 
Rahmenbedingungen, wie z.B. ein Biobankgeheimnis, gefordert, welches 
zusammen mit anderen Regelungen eine zweckoffene Einwilligung ermög- 
lichen sollte [15]. Da bisher jedoch völlig offen ist, ob und in welcher Form der 
Gesetzgeber diesen Vorschlag aufnimmt, bleibt in jedem Einzelfall zu prüfen 
und abzuwägen, ob der Grad der Bestimmtheit einer Einwilligung den For- 
schungsinteressen und der Informiertheit der Probanden noch gerecht wird. 
Risiken, die durch eine längerfristige, vergleichsweise zweckoffene und breit 
nutzbare Speicherung medizinischer Daten entstehen, sind, wie in dem vor- 
liegenden Leitfaden dargestellt, durch entsprechende technische und organi- 
satorische Maßnahmen und eine langfristig klar geregelte Verantwortlichkeit 
auszubalancieren (vgl. Kap. 6.7). Der Arbeitskreis Medizinischer Ethik-Kom- 
missionen in Deutschland (AK EK) hat für Biobanken entsprechende Muster- 
texte zur Aufklärung und Einwilligung veröffentlicht.” 


Grundsätzlich ist zu beachten, dass eine allgemein formulierte Zweckbestim- 
mung und die entsprechende Einwilligung in eine offenere spätere Nutzung 
von Proben und Daten immer nur dann eine ausreichende Rechtsgrundlage 


11 Der Nationale Ethikrat hat in der Stellungnahme „Biobanken für die Forschung“ die abgestufte Einwilligung 
sogar für verzichtbar erklärt, das Fehlen von Wahlmöglichkeiten verletze nicht das Selbstbestimmungsrecht 
[14, 5.15]. 

12 siehe http://www.ak-med-ethik-komm.de/formulare.html 
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für die Forschung bieten können, wenn die Einholung späterer zusätzlicher 
Einwilligungen aus technischen oder organisatorischen Gründen nicht mach- 
barist. In bestimmten Fällen kann für die Rekontaktierung beispielsweise ein 
Abgleich der Daten mit Melderegistern notwendig sein. Hier ist zu prüfen, ob 
dies im konkreten Fall rechtlich möglich ist (vgl. Kap. 4.3.4). Wenn später eine 
zusätzliche Einwilligung eingeholt werden soll, muss auch für diese Rekon- 
taktierung eine Einwilligung der Probanden vorliegen. Bei der Prüfung der 
Durchführbarkeit einer solchen weiterführenden Einwilligung ist zudem zu 
klären, ob diese zu einer zu großen Selektions-Verzerrung (selection bias) füh- 
ren könnte. 


4.2.3 Verantwortlichkeiten 


Die Speicherung und Verarbeitung sensibler medizinischer Daten und Proben 
setzt eine juristisch belastbare und für jeden Patienten nachvollziehbare Re- 
gelung der Verantwortlichkeit voraus (s. Kap. 6.6). Beider Planung einer lang- 
fristigen und einrichtungsübergreifenden Datensammlung ist von vornherein 
auch zu überlegen, welche verlässliche und vertrauenswürdige Institution mit 
ebenfalls langfristiger Perspektive die Verantwortung im juristischen Sinne 
übernehmen kann. Dies kann ein von einem Forschungsnetz gegründeter 
Verein sein, es sind aber auch andere Lösungen und Formen denkbar, die als 
juristische Person ansprechbar sind. Bei der Initiierung einer Datensammlung 
aus einem geförderten Forschungsprojekt heraus ist auch an Regelungen nach 
Auslaufen der Förderung zu denken. In jedem Fall sollte eine mögliche Rechts- 
nachfolge für die zunächst verantwortliche Institution geprüft werden. Die 
notwendige Transparenz gegenüber den Probanden erfordert die verständliche 
Darlegung der Verantwortlichkeiten in der Einwilligungserklärung. 


Der verantwortlichen Institution, z.B. dem Forschungsnetz e.V., wird emp- 
fohlen, ein Gremium zu schaffen, welches für datenschutzrechtliche Fragen 
und Entscheidungen zuständig ist (s. Kap. 6.6). Bei der Besetzung dieses „Aus- 
schusses Datenschutz“ ist darauf zu achten, dass Interessenskonflikte soweit 
möglich vermieden werden. Das Gremium sollte neben der Beratung einzelner 
Entscheidungen, z.B. welcher Anfrage nach Daten stattgegeben wird, auch 
für die Ausarbeitung und Fortschreibung der datenschutzrechtlich relevanten 
Regelwerke und Policies verantwortlich sein. Das Aufgabengebiet des Aus- 
schuss Datenschutz kann z.T. überlappend mit jenem eines betrieblichen oder 
behördlichen Datenschutzbeauftragten der beteiligten Einrichtungen oder 
auch eines Forschungsverbunds als juristischer Person sein. Wenn der For- 
schungsverbund über einen eigenen Datenschutzbeauftragten verfügt, sollte 
dieser entsprechend auch Mitglied des Ausschuss Datenschutz werden. In Be- 
zug auf die langfristige pseudonymisierte Aufbewahrung von Gesundheits- 
daten kommt dem Ausschuss Datenschutz jedoch eine besondere Verantwort- 
lichkeit zu, die im Regelfall eine Besetzung mit mehreren Personen mit aus- 
reichender Sachkenntnis empfehlenswert erscheinen lässt. Somit sollten auch 
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alle relevanten Entscheidungen mindestens nach dem Vier-Augen-Prinzip 
getroffen werden. 


4.2.4 Anonymisierung und Pseudonymisierung 


Das Bundesdatenschutzgesetz definiert in $ 3 Abs. 6 BDSG den Vorgang des 
Anonymisierens und in $ 3 Abs. 6a des Pseudonymisierens. Beide Verfahren 
werden eingesetzt, um die Zuordnung von Daten zu einer bestimmten oder 
bestimmbaren Person auszuschließen oder zumindest wesentlich zu erschwe- 
ren. Somit sind beide Verfahren grundsätzlich geeignet, den Schutzbedarf 
medizinischer Daten abzusenken, bzw. Risiken, die sich aus der Speicherung 
und Verarbeitung der Daten ergeben, zu minimieren. 


Daten sind nach $ 3 Abs. 6 BDSG anonymisiert, wenn sie entweder „nicht 
mehr“ oder „nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kos- 
ten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person 
zugeordnet werden können“. Während die erste Option als absolute Anony- 
misierung bezeichnet wird, ist die letztere realistischerweise die häufigere 
und wird mit dem Begriff der faktischen Anonymisierung belegt [16]. Grund- 
sätzlich wird von einer Anonymisierung ausgegangen, wenn identifizierende 
und medizinische Daten getrennt werden, keine Zuordnungsregel mehr exis- 
tiert und anhand der medizinischen Daten allein keine Reidentifizierung mög- 
lich ist. Anonymisierte Daten gelten damit für nicht mehr personenbeziehbar, 
so dass für sie auch das Datenschutzrecht samt Einwilligungsvorbehalt nicht 
mehr anzuwenden ist [1ı, S. C35]. Problematisch im Umgang mit anonymi- 
sierten Daten ist, dass sich der Status der Anonymität im Laufe der Zeitändern 
kann, z.B. wenn ein Nutzer der Daten aufgrund einer bestimmten Kombina- 
tion medizinischer und sozialer Daten auf die Identität des zugehörigen Pa- 
tienten schließen kann. In diesem Falle würde es sich wieder um personen- 
bezogene Daten handeln, die entsprechend der Vorschriften der Datenschutz- 
gesetze des Bundes und der Länder zu behandeln wären. Problematisch an 
einem solchen Szenario ist, dass sich im Vorfeld nicht immer ausreichend 
präzise einschätzen lässt, ob und wann ein solcher Fall eintreten kann. Zur 
Vorbeugung wird daher empfohlen, auch anonymisierte Datenexporte nur 
zweckbezogen an definierte Nutzerkreise abzugeben und insbesondere auf die 
freie Verfügbarmachung medizinischer Daten im Internet in so genannten 
Public-Use-Files zu verzichten. 


Nach s 3 Abs. 6a BDSG ist Pseudonymisieren das „Ersetzen des Namens und 
anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die 
Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ 
Im Unterschied zu anonymisierten Daten besteht bei pseudonymisierten 
Daten noch eine Zuordnungsregel zu den Identitätsdaten der betroffenen Per- 
sonen. Die Zuordnungsregelistjedoch nicht allen Nutzern der Daten bekannt, 
da sonst der Zweck der Pseudonymisierung nicht erreicht würde. Somit muss 
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hinsichtlich der Datenschutzanforderungen unterschieden werden zwischen 
Nutzerkreisen, die die Zuordnungsregel kennen und solchen, die sie nicht 
kennen. Für die erste Gruppe handelt es sich offensichtlich um personenbe- 
zogene Daten gemäß dem Datenschutzrecht. In Bezug auf die Einordnung der 
Daten für die zweite Nutzergruppe gibt es jedoch unterschiedliche Auffassun- 
gen. Roßnagel kommt in einem für die TMF erstellten Rechtsgutachten zu 
dem Schluss, dass pseudonymisierte Daten für Nutzer ohne Zugriff auf die 
Zuordnungsregel anonymisierten Daten gleichgestellt werden können, wenn 
„nach der allgemeinen Lebenserfahrung oder dem Stand der Wissenschaft die 
Zuordnung der Daten zu einer Person praktisch ausscheidet“ [11, S. C33]. Eine 
andere Position wird von Bizer vertreten, der die Möglichkeit einer „relativen 
Anonymisierung“ für Nutzer ohne Zugriff auf die Zuordnungsregel grundsätz- 
lich verneint [17, RN 217; 18]. Auch Roßnagel weist aber darauf hin, dass pseu- 
donymisierte Daten z.B. prinzipiell nicht in Public-Use-Files veröffentlicht 
werden sollten, da es dann immer Nutzer gibt, die die Zuordnungsregel ken- 
nen und damit das Prinzip der Informationsaufteilung umgehen können [11, 
S. 36]. Zudem bedeutet das Vorhandensein einer Zuordnungsregel auch, dass 
ein Datensatz hinsichtlich seines inhärenten Reidentifizierungspotenzials 
nicht abschließend beurteilt werden kann, da grundsätzlich weitere Daten, 
z.B. aus Follow-ups, zugeordnet werden können. Im Ergebnis empfiehlt auch 
Roßnagel, den Umgang mit pseudonymisierten Daten am Datenschutzrecht 
auszurichten, da die Gefahr einer Reidentifizierung zumeist nicht ausreichend 
sicher ausgeschlossen werden kann. 


Ein Sonderfall der Pseudonymisierung besteht dann, wenn eine kryptogra- 
phische Einwegfunktion zur Generierung der Pseudonyme verwendet wird. 
In diesem Fall ist kein Schlüssel zur Umkehrung der Pseudonymisierung vor- 
handen, oder dieser kann bei Nutzung eines asymmetrischen Verschlüsse- 
lungsverfahrens vernichtet werden. Somit erlaubt auch die Kenntnis der Zu- 
ordnungsregel keine direkte Zuordnung des Pseudonyms zu den identifizie- 
renden Daten. Hierfür hat sich auch der Begriff „Einwegverschlüsselung“ 
etabliert. Es stellt sich dabei die Frage, ob Daten mit nur noch unidirektional 
vorhandener Zuordnungsregel anders zu bewerten sind, als medizinische und 
identifizierende Daten, bei denen eine Zuordnung zumindest von einer be- 
stimmten Benutzergruppe in beide Richtungen vorgenommen werden kann. 
Grundsätzlich wird bei solchen asymmetrischen Verfahren empfohlen, diese 
so ausprobiersicher zu machen, dass bis auf einen definierten Nutzerkreis 
niemand Probeverschlüsselungen mit beliebigen identifizierenden Daten ma- 
chen kann. Dies bedeutet, dass mindestens einer der verwendeten Schlüssel 
geheim gehalten wird und der Zugang zu dieser Funktion nur autorisierten 
Nutzern gewährt wird. Trotzdem wird mindestens eine Nutzergruppe weiter 
Zugang zu dem Verfahren haben und entweder Probeverschlüsselungen vor- 
nehmen oder sogaridentifizierende Daten als Nutzdaten an dem Verschlüsse- 
lungsverfahren „vorbei“ schicken können, so dass auf der anderen Seite des 
Verfahrens identifizierende Daten mit dem asymmetrisch generierten Pseu- 
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donym im Zusammenhang auftauchen. Abgesehen von solchen Risiken wer- 
den aber auch solche asymmetrischen Verfahren hauptsächlich dann einge- 
setzt, wenn den einmal pseudonymisierten Daten später noch weitere Daten 
zugeordnet werden sollen. Damit fallen solche Daten auch bezüglich der Pro- 
blematik des nicht abschließend zu beurteilenden inhärenten Reidentifizie- 
rungsrisikos in die gleiche Kategorie, wie die zuvor beschriebenen pseudony- 
misierten Daten. Entsprechend kommt auch Roßnagel in seinem Gutachten 
ju, S. C39] zu dem Schluss: „Solange die Identitätsdaten zu den verschlüssel- 
ten Behandlungsdaten noch vorhanden sind, besteht grundsätzlich ein höhe- 
res Risiko der Reidentifizierung, als wenn die Identitätsdaten vernichtet wor- 
den wären. Besteht darüber hinaus eine Zuordnungsregel, sind die Daten 
pseudonymisiert und nicht anonymisiert.“ Demzufolge sind pseudonymisier- 
te Daten unabhängig von der Verwendung einer Einwegfunktion zur Generie- 
rung des Pseudonyms von ihrem rechtlichen Status her zwischen den perso- 
nenbezogenen und den anonymen Daten einzuordnen. 


Einwegfunktionen ermöglichen die Generierung des immer gleichen Pseud- 
onyms bei identischen Ausgangsdaten. Dies ermöglicht die Erstellung von 
Pseudonymen auf Basis der identifizierenden Daten von Patienten und erlaubt 
somit gleichzeitig, auf eine zentrale und langfristige Speicherung der identi- 
fizierenden Daten zu verzichten. Somit entfällt die Notwendigkeit, die identi- 
fizierenden Daten langfristig und z.B. mit Hilfe eines Treuhänders zu schüt- 
zen. Auf der anderen Seite entfällt in einem solchen Szenario regelmäßig die 
Möglichkeit, die beteiligten Patienten zu einem späteren Zeitpunkt sicher zu 
kontaktieren. Ein weiterer und weniger offensichtlicher Nachteil ist die ein- 
geschränkte langfristige Sicherheit des Pseudonyms. Dessen Sicherheit fußt 
auf der kryptographisch gesicherten Unumkehrbarkeit des verwendeten Al- 
gorithmus, die jedoch nach aller Erfahrung nicht dauerhaft gegeben sein 
wird. 


Die vergleichende Betrachtung der beiden Verfahren der Anonymisierung und 
Pseudonymisierung zeigt, dass sich der Sicherheitsvorteil der Anonymisierung 
aufgrund der heute häufig benötigten umfangreichen medizinischen Daten- 
sätze mitihrem inhärenten Reidentifizierungsrisiko stark relativiert. Bei der 
Wahl des passenden Verfahrens zur Absenkung des Schutzbedarfs medizini- 
scher Daten ist aber noch entscheidender, dass viele Anwendungsfälle mit 
anonymisierten Daten nicht umgesetzt werden können. Neben der Notwen- 
digkeit, klinische Daten mit Hilfe von Follow-ups im langfristigen Verlauf 
studieren zu können, ist hier auch die Möglichkeit des individuellen Feedbacks 
z.B. über neue Therapiemöglichkeiten, Risiken oder Zufallsbefunde zu nen- 
nen. Ein solches Feedback kann jedoch nur dann die Verwendung pseudony- 
mer statt anonymer Daten rechtfertigen, wenn die Rückmeldung mit den 
Patienten im Rahmen einer hinreichend bestimmten Einwilligung vereinbart 
wurde (vgl. auch Kap. 4.4.2). Auch diezunehmend hochselektive Rekrutierung 
für neue Studien kann nur mit Hilfe pseudonymisiert gespeicherter Daten 
unterstützt werden. Siehe hierzu auch Kapitel 3.2.3. 
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4.2.5 Elektronische Datentreuhänderschaft 


Die vorliegende Konzeption datenschutzgerechter Lösungen in der medizini- 
schen Forschung sieht für viele Szenarien eine informationelle Gewaltenteilung 
vor, die durch eine Unabhängigkeit des administrativen Zugriffs auf verschie- 
dene Komponenten und Anteile des Datenbestandes zu realisieren ist. Eine 
zentrale Komponente dieser verteilten Konzeption ist eine elektronisch geführ- 
te Patientenliste, die den Zusammenhang identifizierender Patientendaten 
(IDAT) zu Pseudonymen (PID) speichert. Die Einbindung eines Treuhänders 
bedeutet, dass die Verwaltung und Speicherung dieser Informationen bei einer 
Einrichtung oder Person angesiedelt wird, die rechtlich, räumlich und perso- 
nell selbstständig und unabhängig ist. Darüber hinaus sollte der Treuhänder 
auch das Vertrauen der betroffenen Patienten oder Probanden genießen. 


Da schon allein die Tatsache, dass ein Patient mit Namen und Anschrift oder 
anderen identifizierenden Daten in einer solchen Liste gespeichert ist, etwas 
über eine spezifische Erkrankung des Patienten aussagen kann, sind auch 
solche Daten als sensibel und schützenswert einzustufen. In besonderen Fäl- 
len kann der begründete Wunsch der Probanden bestehen, dass eine solche 
zentrale Datei beschlagnahmesicher im Sinne des $ 97 StPO aufbewahrt wird. 
Vor diesem Hintergrund wurde in der Vergangenheit für einige Forschungs- 
netze die Beauftragung eines Notars als Datentreuhänder vorgeschlagen [19, 
S. 41] und z.T. auch umgesetzt, so z.B. im Kompetenznetz Parkinson». 


Der von der TMF zur Klärung der Rahmenbedingungen einer elektronischen 
Datentreuhänderschaft beauftragte Rechtsgutachter Dierks weist zum einen 
auf das vom Beschlagnahmeschutz und dem komplementären Zeugnisver- 
weigerungsrecht nach $ 53 StPO adressierte Verhältnis zwischen Arzt und Pa- 
tient und zum anderen auf die Thematik des Gewahrsams hin. Beide Aspekte, 
sowohl das Vertrauensverhältnis als zu schützendes Gut und Ausgangspunkt 
des Beschlagnahmeschutzes, als auch die Regelungen zum Gewahrsam, kön- 
nen sich für die Forschung als problematisch erweisen [20]. 


Nach Dierks [20, S. B12] ist zwar davon auszugehen, dass auch ein forschender 
Arzt zu dem Kreis der potenziell Zeugnisverweigerungsberechtigten des $ 53 
Abs. ı Nr. 3 StPO gehört. Das Zeugnisverweigerungstecht steht ihm jedoch 
nur zu, soweit es um Informationen geht, die ihm in seiner Eigenschaft als 
Arzt vom Hilfesuchenden anvertraut worden oder bekannt geworden sind. 
Maßgeblich ist somit dasindividuelle Beratungs- und Behandlungsverhältnis 
zwischen dem Arzt und demjenigen, der seine Hilfe in Anspruch nimmt. Ein 
forschender Arzt, der kein individuelles Beratungs- oder Behandlungsverhält- 
nis zum Patienten hat, wird sich in einem Strafverfahren im Regelfall nicht 
aufein Zeugnisverweigerungsrecht berufen können. In den Fällen, in denen 
die Forschung im Rahmen eines Behandlungsverhältnisses stattfindet, wie 


13 www.kompetenznetz-parkinson.de 
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dies z.B. im Rahmen klinischer Prüfungen zumeist anzunehmen ist, kann 
aber auch für den forschenden Arzt ein Zeugnisverweigerungsrecht angenom- 
men werden. Analog kann von einem Zeugnisverweigerungsrecht ausgegan- 
gen werden, wenn der forschende Arzt hinzugezogen und in das Behandlungs- 
und Beratungsverhältnis des Arztes mit seinem Patienten eingebunden wird. 
Der forschende Arzt wäre dann aber nicht Berufshelfer des behandelnden oder 
beratenden Arztes nach $ 53a StPO, sondern selbst zeugnisverweigerungsbe- 
rechtigt im Sinne des $ 53 Abs. 1 Nr. 3 StPO. 


Neben dem individuellen Beratungs- und Behandlungsverhältnis zwischen 
Arzt und Patient sind aber auch die Regelungen zum Gewahrsam der zu schüt- 
zenden Daten zu berücksichtigen. Eine relevante Erweiterung der Regelungen 
zum Gewahrsam wurde im Rahmen des Gesetzes zur Modernisierung der ge- 
setzlichen Krankenversicherung (GKV-Modernisierungsgesetz - GMG) im Jah- 
re 2003 zur Vorbereitung der Einführung der elektronischen Gesundheitskarte 
(eGK) eingeführt. Seitdem können Daten auch im Gewahrsam eines Dienst- 
leisters des zeugnisverweigerungsberechtigten Arztes vom Beschlagnahme- 
schutz umfasst sein. Dierks weist darauf hin, dass der Begriff des Dienstleis- 
ters im konkreten Zusammenhang mit der Einführung der eGK und der zu- 
gehörigen Telematikinfrastruktur im Gesundheitswesen im Gesetz verankert 
wurde, dass er aber dem Wortlaut des Gesetzes nach auch unabhängig von der 
eGK verstanden werden kann und sollte. Demnach wären auch Daten bei 
einem Dienstleister von einer Beschlagnahme ausgenommen, wenn dessen 
Beauftragung unabhängig von der Nutzung einer eGK wäre. Vor dem Hinter- 
grund der aktuell eingeschränkten Nutzbarkeit der eGK-Infrastruktur für die 
Forschung (s. das weiter unten folgende Kap. 4.3.2 zur Gesundheitstelematik) 
kann dieser Befund für einige Anwendungsfälle der Forschung von Interesse 
sein. Dierks weist aber auch darauf hin, dass es derzeit zur Interpretation des 
Dienstleisters nach $ 97 Abs. 2 Satz 2 StPO noch keine ausreichend umfang- 
reiche Rechtsprechung gibt, die einen verlässlichen Rechtsrahmen aufspan- 
nen würde |20, S. B18]. 


Somit wäre ein Beschlagnahmeschutz in vertretbarer, jedoch rechtlich nicht 
abgesicherter Weise über die Aufbewahrung der Patientenliste in elektroni- 
scher Form bei einem IT-Dienstleister nach $ 97 Abs. 2 Satz 2 StPO zu erreichen, 
sofern ein eindeutiger Bezug zum spezifischen geschützten Vertrauensver- 
hältnis zwischen Arzt und Patient gegeben ist, aus dem die Daten stammen. 
Allerdings würde in einem solchen Falle der Dienstleister eine Datenverarbei- 
tung im Auftrag (vgl. $ 28 BDSG) übernehmen und wäre gegenüber dem Auf- 
traggeber weisungsgebunden. Metschke und Wellbrock weisen jedoch darauf 
hin, dass bei einer Datenverarbeitung im Auftrag aufgrund der Weisungsge- 
bundenheit des Auftragnehmers keine ausreichende informationelle Gewal- 
tenteilung erreicht wird. Hierfür muss der Datentreuhänder selbstständige 
Daten besitzende Stelle sein [19, S. 42]. Die informationelle Gewaltenteilung 
ist im Regelfall jedoch gerade das Ziel der Einbindung eines Datentreu- 
händers. 
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Zu der Frage, ob ein weitergehender Beschlagnahmeschutz durch die Ein- 
schaltung eines Notars als Datentreuhänder erreicht werden kann, kommt 
Dierks allerdings zu einem negativen Ergebnis. Zwar gehören Notare auch zu 
dem zeugnisverweigerungsberechtigten Personenkreis nach $ 53 (1) StPO, al- 
lerdings dürfen sie nur über jene Begebenheiten das Zeugnis verweigern, die 
ihnen in ihrer beruflichen Eigenschaft von ihren Mandanten anvertraut wur- 
den oder bekannt geworden sind und somit das spezifische Vertrauensverhält- 
nis zwischen ihnen und dem auftraggebenden Mandanten betreffen. Infor- 
mationen über Dritte sind davon nicht automatisch umfasst. Nach Dierks 
gehört weder die beschlagnahmesichere Aufbewahrung von Dokumenten an 
sich zu den vom Beschlagnahmeschutz umfassten beruflichen Tätigkeitsbe- 
reich eines Notars, noch könnte eine Patientenliste in einem rechtlich sinn- 
vollen Auftrags- und Mandantenverhältnis bei einem Notar so hinterlegt wer- 
den, dass dieser sich auf sein Zeugnisverweigerungsrecht berufen könnte. 
Selbst wenn die Patienten einzeln den Notar mit der Verwaltung ihrer Daten 
beauftragen würden, müssten sie doch gleichzeitig zur Ermöglichung eines 
zentralen Zugriffs durch das Forschungsnetz den Notar von seiner Schweige- 
pflicht diesbezüglich entbinden, was wiederum auch die Beschlagnahmesi- 
cherheit unterminieren würde. Für Dierks spricht schließlich der Umstand, 
dass die Mandatierung des Notars gerade der Erreichung eines Beschlagnah- 
meschutzes dienen soll, für die Beschlagnahmefähigkeit einer Patientenliste 
beim Notar. Die Übergabe der Patientenliste in die notarielle Verwahrung be- 
trifft dann nicht den Gegenstand seiner typischen und speziellen beruflichen 
Tätigkeit. Es ist vielmehr von einem Umgehungstatbestand auszugehen, der 
durch den Schutzzweck des $ 97 StPO nicht gedeckt ist [20, S. B22f]. 


In der Konsequenz ist eine beschlagnahmesichere Einschaltung eines Daten- 
treuhänders in der Forschung nur in wenigen, überwiegend monozentrischen 
Szenarien erreichbar. Zudem wird in einer solchen Konstellation aufgrund der 
notwendigen Weisungsgebundenheit des Treuhänders das Prinzip der infor- 
mationellen Gewaltenteilung durchbrochen. Die Nutzung eines Datentreu- 
händers ist in vielen Anwendungsfällen und Forschungsfeldern, in denen die 
Beschlagnahmesicherheit kein hoch priorisiertes Kriterium ist, durchaus 
sinnvoll und im Sinne einer informationellen Gewaltenteilung positiv zu be- 
werten. Dies gilt insbesondere dann, wenn es gelingt, eine Institution oder 
Person für diese Aufgabe zu gewinnen, die bei der relevanten Patientengrup- 
pe hohes Vertrauen genießt. Zudem sollte eine solche Stelle datenschutzrecht- 
liche Kompetenz aufweisen und idealerweise auch durch berufsrechtliche 
Normen an einen vertrauensvollen und sicheren Umgang mit den anvertrau- 
ten Daten gebunden sein, wie dies z.B. für Ärzte oder auch Notare gilt. 
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4.3 Weitere rechtliche Rahmenbedingungen 
4.3.1 AMG, MPG 


Das Arzneimittelrecht legt in Deutschland die Rahmenbedingungen für kli- 
nische Prüfungen fest, die den Nutzen und die Sicherheit eines neuen Medi- 
kaments oder der Erweiterung des Anwendungsbereichs eines bekannten Me- 
dikaments vor der breiten Anwendung belegen müssen. Analog finden sich 
Regelungen für die Durchführung klinischer Prüfungen im Rahmen der Be- 
wertung neuer Medizinprodukte im Gesetz über Medizinprodukte (MPG) und 
der zugehörigen Verordnungüber klinische Prüfungen von Medizinprodukten 
(MPKPV). 2009 wurde eine grundlegende Überarbeitung des MPG verabschie- 
det, die u.a. die Regelungen zu klinischen Prüfungen mit denen des Arznei- 
mittelrechts vereinheitlichen sollte. Hinsichtlich einiger datenschutzrelevan- 
ter Aspekte wurde dieses Ziel jedoch verfehlt, so dass auf diese gesondert in 
diesem Kapitel eingegangen wird. 


Das Gesetz über den Verkehr mit Arzneimitteln (Arzneimittelgesetz - AMG) 
wurde 2004 dahingehend grundlegend erweitert, dass es nicht mehr nur kli- 
nische Prüfungen im Rahmen einer kommerziell relevanten Zulassung regelt, 
sondern auch den Rechtsrahmen für wissenschaftlich motivierte Arzneimit- 
telstudien bildet. Seit dieser 12. AMG-Novelle ist somit das Risiko der Proban- 
den, welches mit der Anwendung eines neuen Arzneimittels oder dessen An- 
wendungserweiterung einhergeht, das entscheidende Kriterium für die An- 
wendbarkeit des Rechtsrahmens des AMG. Somit ist das AMG seit 2004 auch 
für einen Großteil der öffentlich geförderten klinischen Forschung relevant. 
Den immensen zusätzlichen Aufwänden, vom Studium und Verständnis der 
Regelungen bis hin zur Implementierung und regelmäßigen Überprüfung, 
stehen vor allem Sicherheits- und Qualitätsgewinne gegenüber. 


Das AMG wurde seit 2004 mehrmals überarbeitet. Im Folgenden wird der Stand 
nach der ı5. Novelle aus dem Jahr 2009 reflektiert, der allerdings hinsichtlich 
der Regelungen zum Datenschutz kaum Änderungen gegenüber der Fassung 
aus 2004 aufweist. Dieser Stand entspricht weitgehend auch einer nationalen 
Umsetzung der EU-Richtlinie 2001/20/EG. Auch für den Bereich des 
Arzneimittelrechts ist jedoch schon eine weitere europäische Vereinheitli- 
chungsinitiative gestartet worden [21]*. 


Aus Sicht des Datenschutzes sind insbesondere die Regelungen im AMG zur 
verpflichtenden Pseudonymisierung der erhobenen Daten im sechsten Ab- 


14 Die neue „Verordnung des Europäischen Parlaments und des Rates über klinische Prüfungen mit Humanarz- 
neimitteln und zur Aufhebung der Richtlinie 2001/20/EG“ ist am 27.05.2014 als EU-Verordnung 536/2014 im 
Amtsblatt der Europäischen Union veröffentlicht worden. Die Verordnung ist am 16. Juni 2014 in Kraft getreten 
und gilt, abhängig von den bis dahin zu schaffenden Rahmenbedingungen, frühestens ab dem 28. Mai 2016. 
Sie wird dann die jeweils nationalen Regelungen zur Durchführung klinischer Arzneimittelstudien weitgehend 
ersetzen (s. http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32014R0536). 
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schnitt zum „Schutz des Menschen bei der klinischen Prüfung“ sowie im 
vierten Abschnitt der zugehörigen GCP-Verordnung zu den Dokumentations- 
und Mitteilungspflichten von Interesse. Demnach sind die Daten innerhalb 
einer klinischen Prüfung insbesondere dem Sponsor nur in pseudonymisierter 
Form zur Verfügung zu stellen. Wenn die klinische Prüfung von einem indus- 
triellen Sponsor initiiert und verantwortet wird, so kann davon ausgegangen 
werden, dass dieser in aller Regel kein Interesse daran haben wird, die betrof- 
fenen Personen namentlich zu kennen. Somit setzt die Pseudonymisierungs- 
verpflichtung lediglich das Prinzip der Datensparsamkeit aus dem Daten- 
schutzrecht um. Gemäß ş 40 Abs. 2a Satz 2 Nr. ıb AMG sind die Probanden 
einer klinischen Prüfung darüber zu informieren, dass die erhobenen Daten 
soweit erforderlich pseudonymisiert an den Sponsor oder eine von diesem be- 
auftragte Stelle zum Zwecke der wissenschaftlichen Auswertung weitergege- 
ben werden. Die Einwilligung in die pseudonymisierte Weitergabe der Daten 
erstreckt sich nach Satz 2 Nr. ıd auch auf die Verpflichtung der Meldung un- 
erwünschter Ereignisse an den Sponsor, die zuständige Bundesoberbehörde 
und über diese an die hierfür eingerichtete europäische Datenbank. Entspre- 
chende Hinweise darauf wie auch auf eingeschränkte (Satz 2 Nr. 3) oder feh- 
lende Widerrufsmöglichkeiten (Satz 2 Nr. 2) sind in die Aufklärungs- bzw. Ein- 
willigungsformulare aufzunehmen. 


Die Regeln des AMG zur Pseudonymisierung sind so weit nachvollziehbar und 
entsprechen einer datenschutzgerechten Umsetzung. Im Sonderfall einer wis- 
senschaftlich motivierten und initiierten Prüfung (Investigator Initiated Trial- 
IT) ist jedoch zu beachten, dass Sponsor und Prüfer einer Studie identisch sein 
können. Für den Leiter der klinischen Prüfung wird dies regelmäßig gelten. 
Somit gibt es Konstellationen, in denen die personenbezogenen Daten für den 
Sponsor ohne weiteres jederzeit einsehbar oder ihm bekannt sind, da er zu- 
gleich diejenige Stelle ist, die die klinische Prüfung durchführt. Damit hat der 
Sponsor, soweit er gleichzeitig Prüfer ist, ohnehin jederzeit unbeschränkten 
direkten Zugriff auf die ihm gegenüber gem. 540 Abs. 2a S. 2 Nr. 1b AMG grund- 
sätzlich zu pseudonymisierenden Daten. In einem von der TMFin Auftrag ge- 
gebenen Gutachten kommt Dierks zu dem Schluss [22, S. Bı2], dass in diesen 
Fällen das Pseudonymisieren unter Betrachtung von Sinn und Zweck der ge- 
setzlichen Vorschriften nicht erforderlich ist. Den Pflichten des Prüfers zur 
Übermittlung pseudonymisierter Daten an den Sponsor im Rahmen der Mel- 
depflichten nach $ 12 Abs. 4, 5 und 6 GCP V kommt aufgrund der Personeniden- 
tität von Prüfer und Sponsor bei IITs keine Bedeutung zu. Allerdings sind die 
Daten in IITs dann pseudonymisiert an den Sponsor zu übermitteln, wenn der 
Sponsor im Rahmen multizentrischer Studien nicht identisch mit der durch- 
führenden Stelle bzw. dem konkreten Prüfer ist und somit auch nicht über 
Zugang zu den identifizierenden Daten der betroffenen Probanden verfügt. 


Anders als im AMG finden sich in den Bestimmungen zu klinischen Prüfun- 
gen im MPG und in der MPKPV keine konkreten Vorschriften zu einer Pseud- 
onymisierung von Daten. Die Umsetzung des datenschutzrechtlichen Prinzips 
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der Datensparsamkeit gebietet jedoch im Regelfall ebenfalls eine Pseudony- 
misierung der Daten, wenn diese außerhalb des Behandlungskontextes ver- 
arbeitet werden. Insofern wird die erstaunliche Unterschiedlichkeit der ge- 
setzlichen Formulierungen diesbezüglich in der praktischen Umsetzung kaum 
Konsequenzen haben. Ein weiterer und für die Praxis relevanter Unterschied 
findet sich in den Vorgaben für die Einwilligungserklärungen: Die im AMG 
festgelegte Unwiderruflichkeit der Datenverarbeitung fehlt in den Bestim- 
mungen des MPG. Vielmehr wird in $20 Abs. 2 MPG explizit die jederzeit mög- 
liche Widerrufbarkeit aufgeführt. Da dies dem datenschutzrechtlichen Stan- 
dard entspricht, ergeben sich daraus im Vergleich zu Forschungsprojekten 
außerhalb des Regelungsbereichs von AMG und MPG keine Besonderheiten. 


4.3.2 Gesundheitstelematik 


Die langfristige Sammlung von Patientendaten auf nationaler Ebene, wie sie 
z.B. von den Kompetenznetzen in der Medizin zu wissenschaftlichen Zwecken 
seit jetzt über zehn Jahren betrieben wird, weist als Anwendungsfall viele Pa- 
rallelen zu einigen der geplanten Anwendungen der im Aufbau befindlichen 
Telematikinfrastruktur auf Basis der elektronischen Gesundheitskarte (eGK) 
auf. So soll die eGK gemäß s 291a Abs. 3 Satz 1 Nr. 4 SGB V „... insbesondere das 
Erheben, Verarbeiten und Nutzen [...] von Daten über Befunde, Diagnosen, 
Therapiemaßnahmen, Behandlungsberichte sowie Impfungen für eine fall- 
und einrichtungsübergreifende Dokumentation über den Patienten (elektro- 
nische Patientenakte) ...“ unterstützen. Demnach wäre eine elektronische Pa- 
tientenakte (EPA) nach s 291a SGB V hinsichtlich der zu speichernden Daten, 
der vorgesehenen Dauer der Speicherung und des Verwendungszwecks z.T. 
durchaus vergleichbar mit dem Modell der Bereitstellung von Behandlungs- 
und Forschungsdaten in klinisch fokussierten Forschungsnetzen, wie es in der 
ersten Version der generischen Lösungen zum Datenschutz der TMF beschrie- 
ben wurde [ı]. Im vorliegenden Konzept ist dieses Modell in Kapitel 5.1 zum 
Klinischen Modul weiterentwickelt worden. Aber auch diein $ 291a Abs. 3 Satzı 
Nr. 5 SGB V vorgesehene Bereitstellung von Daten durch Versicherte selbst stellt 
einen für die Forschung zunehmend relevanten Anwendungsfall dar. 


Bei diesen Überschneidungen der Ansätze und Interessen aus der Forschung 
mit denen aus der Versorgung liegt die Frage nach gemeinsamen Verwen- 
dungsmöglichkeiten einer einheitlichen Infrastruktur nahe. Nach s 291a Abs. 8 
Satz ı SGB V darf jedoch vom Inhaber der eGK nicht verlangt werden, einen 
Zugriff u.a. auf die Daten nach Abs. 3 Satz ı „... zu anderen Zwecken als denen 
der Versorgung der Versicherten ...“ zu gestatten oder eine Gestattung mit ihm 
zu vereinbaren. In ihrem Gutachten kommen Roßnagel, Hornung und Jandt 
[11] entsprechend auch zu dem Schluss, dass eine rechtfertigende Einwilligung 
des Patienten in einen Zugriff auf die auf oder mittels der eGK gespeicherten 
Daten, die für die Nutzung zu Forschungszwecken notwendig wäre, jenseits 
der genannten Zwecke ausgeschlossen ist. Dies gilt ebenfalls für zusätzliche, 
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z.B. im Rahmen klinischer Studien erhobene Daten, wenn diese auf oder mit 
Hilfe der eGK gespeichert werden. Auch die von Patienten gemäß s 291a Abs. 3 
SatzıNr. 5 SGB V selbst in einem so genannten „Patientenfach“ zur Verfügung 
gestellten Daten wären von diesem Verwendungsvorbehalt betroffen. Im Er- 
gebnis ist damit eine Nutzung für die Forschung, auch als zusätzliche Funktion 
der Gesundheitskarte, nach geltendem Recht unzulässig. 


Nach Rofßßnagel, Hornung und Jandt [11] ist ebenfalls die Nutzung der neuen 
Versichertennummer der eGK als identifizierendes Merkmal der Patienten im 
Forschungskontext unzulässig. Dies wäre für einrichtungsübergreifende For- 
schungsfragestellungen aufgrund des versicherungsunabhängigen und lebens- 
lang gültigen Anteils der neuen Versichertennummer von Interesse und würde 
helfen, Patienten z.B. auch nach einem Namenswechsel eindeutig zuzuord- 
nen. Nach Aussage der Gutachter ist das Verwendungsverbot unabhängig da- 
von, ob die Versichertennummer direkt oder in nachvollziehbarer Weise um- 
geschlüsselt als Pseudonym genutzt wird, oder ob sogar nur eine Verwendung 
als identifizierendes Datum entsprechend der Vorgaben zum ID-Management 
in einem Forschungsverbund, wie in Kapitel 6.1.1.1 beschrieben und z.B. mit 
dem PID-Generator der TMF umsetzbar, geplant sei. Hintergrund dieser Ein- 
schätzung der Gutachter ist das bereits weiter vorne ausführlich erläuterte 
BSG-Urteil vom 10.12.2008 [12], welches die Verwendung von Sozialdaten aus 
dem zehnten Kapitel des SGB V zu nicht im SGB spezifizierten Zwecken auch 
bei Vorliegen einer Einwilligung ausschließt. 


Nicht ausgeschlossen ist aber die Nutzung anderer Komponenten der im Auf- 
bau befindlichen Telematikinfrastruktur, wie z.B. des Heilberufeausweises 
(HBA) zur einheitlichen und einrichtungsübergreifenden Authentifizierung 
der Nutzer zentraler IT-Infrastruktur-Komponenten der Forschungsnetze oder 
von Mehrwertdiensten (s. Glossar). 


4.3.3 Eigentumsrecht bei Biomaterialien 


Als weiterer relevanter Rechtsrahmen ist für biologische Proben das Sachen- 
recht nach $ 854-1296 BGB zu berücksichtigen. Zwar gilt der menschliche Kör- 
per oder auch ein einzelnes Körperteil oder abgetrenntes Körpermaterial nicht 
als Sache im gesetzlichen Sinne. Für abgetrennte Körperteile oder Körperma- 
terialien wie Gewebe, Blut etc. trifft dies jedoch zunächst nur zu, wenn eine 
Wiedereingliederung geplant ist, wie z.B. bei einer Eigenblutspende oder einer 
Organtransplantation. Proben in Biomaterialbanken für die Forschung sind 
jedoch durchweg Körpermaterialien, die eindeutig ohne Absicht und Möglich- 
keit der Wiedereingliederung entnommen worden sind. Damit sind sie als 
Sachen im Sinne des $ 90 BGB einzuordnen [23, S. 32]. 


Das auf das Sachenrecht zurückgehende Eigentumsrecht steht grundsätzlich 
und ohne weitere Vereinbarung den Spendern zu. Dabei wird das Eigentums- 
recht an den Proben vom allgemeinen Persönlichkeitsrecht überlagert, wobei 
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die Intensität dieser Überlagerung davon abhängt, in welchem Umfang Rück- 
schlüsse vom Körpermaterial auf dessen ehemaligen Träger und seine Person 
gezogen werden können. Nur wenn solche Rückschlüsse nicht mehr möglich 
sind, wäre das allgemeine Persönlichkeitsrecht bedeutungslos. Das im Regel- 
fall anzunehmende Persönlichkeitsrecht, wie auch das in Verbindung damit 
stehende Widerrufsrecht der Probanden schließen eine implizite Eigentums- 
übertragung im Rahmen der Einwilligung in die Teilnahme an einem For- 
schungsprojekt üblicherweise aus [23]. Eine explizite Eigentumsübertragung 
ist aber nach allgemeiner Auffassung möglich, auch wenn die Persönlichkeits- 
rechte an der Probe nicht übertragbar sind und damit notwendigerweise von 
der Eigentumsübertragung unberührt bleiben [5, S. 118]. Wenn ein Verwer- 
tungsbedarf in Bezug auf die Proben nicht ausgeschlossen werden kann, sollten 
die Probanden entsprechend explizit um eine Eigentumsübertragung gebeten 
werden. Als weiterführende Lektüre zu diesem Themenkomplex wird auf das 
im Auftrag der TMF erstellte Rechtsgutachten von Simon und Mitarbeitern ver- 
wiesen, welches als Band 2 der Schriftenreihe derTMF veröffentlicht wurde [23]. 


4.3.4 Abgleich mit externen Datenbeständen 


Gerade in epidemiologischen Forschungsprojekten kann ein berechtigtes In- 
teresse an Datenübermittlungen von beispielsweise Einwohnermelde-, Ge- 
sundheits- oder Standesämtern bestehen. Die gesetzlichen Grundlagen für die 
Übermittlung von Daten aus Melderegistern stehen typischerweise in den 
Meldegesetzen der Länder. So erlaubt z.B. $ 31 Abs. ı des Meldegesetzes für 
Rheinland-Pfalz den Meldebehörden die Übermittlung bestimmter Daten an 
andere Behörden oder öffentliche Stellen, soweit dies zur Erfüllung von Auf- 
gaben erforderlich ist, die in ihrer Zuständigkeit oder der der empfangenden 
Stelle liegen. Regelungen für die Standesämter finden sich hingegen im Per- 
sonenstandsgesetz (PStG). Für einige Forschungsprojekte ist auch eine genaue 
Kenntnis derTodesursachen verstorbener Patienten notwendig. Solche Daten 
können in bestimmten Fällen von den Gesundheitsämtern angefordert wer- 
den. Den gesetzlichen Rahmen für solche Informationsübermittlungen span- 
nen die Gesundheitsdienstgesetze der Länder auf. Eine weitere relevante 
Datenquelle können die Krebsregister auf Landesebene sein, für die in den 
Landeskrebsregistergesetzen die Bedingungen für eine Datenweitergabe zu 
Forschungszwecken festgehalten sind. 


4.4  Patientenrechte 
4.4.1. Auskunftsrechte 
Jeder Proband hat nach $ 34 (1) BDSG ein grundsätzliches Recht auf Auskunft 


über die von ihm gespeicherten personenbezogenen Daten, also auch über ab- 
geleitete oder aus Biomaterialien gewonnene Daten. Zu dieser Auskunfts- 
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pflicht gibt es in $ 33 (2) BDSG aufgezählte Ausnahmen, wie etwa ein unver- 
hältnismäßiger Aufwand, die Geheimhaltungspflicht aufgrund einer Rechts- 
vorschrift oder wegen des überwiegenden rechtlichen Interesses eines Dritten, 
die Gefährdung der öffentlichen Sicherheit oder Ordnung oder eine erhebliche 
Gefährdung der Geschäftszwecke der verantwortlichen Stelle, die jedoch in 
der Regel auf die hier behandelten Daten- und Probensammlungen der For- 
schung nicht zutreffen. Die Möglichkeit der Auskunft besteht nur, solange 
die Daten nicht anonymisiert wurden. Korrespondierend zu den Auskunfts- 
rechten besteht nach $ 35 BDSG das Recht der Probanden auf Berichtigung, 
Löschung oder Sperrung ihrer Daten. 


4.4.2 Recht auf Wissen und Nichtwissen 


An den Ergebnissen medizinischer Forschung können Probanden ein berech- 
tigtes Mitteilungsinteresse haben, insbesondere dann, wenn es sich um in- 
dividuelle Untersuchungsergebnisse mit medizinischer Relevanz handelt. Die 
Möglichkeit der Entstehung solcher Ergebnisse kann gerade bei Nutzung um- 
fangreicher Daten- und Probensammlungen immer seltener von vornherein 
ausgeschlossen werden. Vor diesem Hintergrund sollten die Probanden im 
Vorfeld über mögliche Untersuchungsergebnisse aufgeklärt und mit ihnen 
eine entsprechende Auskunftsregelung vereinbart werden. Dabei ist allerdings 
auch zu berücksichtigen, dass Probanden bestimmte Untersuchungsergeb- 
nisse möglicherweise nicht mitgeteilt bekommen möchten. Dies kann z.B. 
auf Ergebnisse aus genetischen Untersuchungen oder andere Befunde mit 
prädiktivem Charakter zutreffen. Auch diesem Recht auf Nichtwissen ist in 
entsprechenden Vereinbarungen Rechnung zu tragen [vgl. 24; 25]. In diesem 
Zusammenhang sind Probanden zudem darauf hinzuweisen, dass sie ihnen 
bekannte Untersuchungsergebnisse ggf. auch Versicherungen oder Arbeitge- 
bern mitteilen müssen. Zum anderen können Ergebnisse aus genetischen 
Untersuchungen auch eine Relevanz für Angehörige des Probanden aufweisen, 
so dass deren Recht auf Nichtwissen auch zu berücksichtigen ist. Sollte ein 
Proband darauf bestehen, über die Ergebnisse der genetischen Untersuchun- 
gen informiert zu werden, so kann ihm das aufgrund seines informationellen 
Selbstbestimmungsrechts nicht versagt werden. Er kann jedoch dann selbst 
in den Konflikt geraten, einerseits Angehörige darüber informieren zu wollen, 
dass relevante Informationen aus genetischen Untersuchungen vorhanden 
sind, andererseits aber auch deren Recht auf Nichtwissen respektieren zu 
müssen. Aufeine solche mögliche Konfliktsituation sollten Probanden daher 
im Vorfeld hingewiesen werden [weitere Informationen hierzu in: 5, S. 78]. 


Bei der Festlegung eines Standardverfahrens, von welchem im Rahmen ab- 
gestufter Einwilligungserklärungen in vordefinierter Form auch abgewichen 
werden kann, sollte berücksichtigt werden, dass gerade viele Zufallsbefunde 
aus genetischen oder anderen Untersuchungen bei geringer tatsächlicher Re- 
levanz für die Probanden doch gleichzeitig auch erhebliches Verunsicherungs- 
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potenzial besitzen können. Zudem ist der Aufwand der Informierung der Pro- 
banden nicht zu unterschätzen, da zum einen möglicherweise auch Bera- 
tungskompetenz mit zur Verfügung gestellt und zum anderen die notwendige 
Depseudonymisierung mit allen damit verbundenen Komplikationen geregelt 
werden muss. Hinsichtlich der Depseudonymisierung ist an ggf. notwendige 
Entbindungen von der Schweigepflicht zu denken oder es müssen technische 
und organisatorische Verfahren implementiert werden, die sicherstellen, dass 
nur der behandelnde Arzt den Untersuchungsbefund in depseudonymisierter 
Form erhält. 


Vor dem Hintergrund der genannten Aufwände und der möglicherweise in 
vielen Fällen geringen Relevanz der Mitteilung von Zufallsbefunden kann ein 
Forschungsprojekt auch vorsehen, dass die Probanden mit der Einwilligungs- 
erklärung auf ein Mitteilungsrecht zunächst verzichten. Dies kann auch zur 
Bedingung einer Teilnahme am Forschungsprojekt gemacht werden [14]. Aller- 
dings ist zu beachten, dass Probanden diese Vereinbarung auch widerrufen 
können und ihnen das Auskunftsrecht dann zu einem späteren Zeitpunkt doch 
zusteht. Ein unwiderruflicher Verzicht auf Mitteilung von Untersuchungs- 
ergebnissen kann nicht mit den Probanden vereinbart werden. 


Ein vereinbarter Verzicht auf die Mitteilung von Ergebnissen kann in bestimm- 
ten Fällen die spätere Rekrutierung von Probanden einschränken. Dies kann 
z.B. der Fall sein, wenn für eine Präventionsstudie überwiegend oder aus- 
schließlich Patienten rekrutiert werden sollen, die bestimmte Risikofaktoren 
aufweisen und der vereinbarte Mitteilungsverzicht impliziert, dass der Pro- 
band über das Vorhandensein eines solchen Risikofaktors nicht informiert 
wird. 


Von den Auskunftsrechten der Patienten sind u.U. ärztlich begründete Mit- 
teilungspflichten der Forscher zu unterscheiden. Diese beziehen sich z.B. auf 
wichtige medizinische Befunde mit unmittelbaren Konsequenzen für eine 
weitere Behandlung oder Diagnostik. Der hierfür nötige Regelungsumfang 
entspricht weitgehend jenem für die Auskunftsrechte der Probanden. Die ent- 
sprechenden Vereinbarungen können somit analog formuliert werden. Grund- 
sätzlich ist zu beachten, dass alle genannten Auskunftsrechte der Patienten 
und Mitteilungspflichten der Forscher sich nur auf Daten beziehen, die nicht 
anonymisiert wurden [5, S. 132]. 


4.4.3 Einbeziehung von Ethikkommissionen 


Die Berücksichtigung der vorliegenden Empfehlungen zur datenschutzgerech- 
ten Umsetzung medizinischer Forschungsprojekte kann und soll die sorgfäl- 
tige Beratung und Prüfung eines Forschungsprojekts in jedem Einzelfall durch 
eine oder mehrere Ethikkommissionen nicht ersetzen. Eine berufsrechtliche 
Pflicht, sich durch eine Ethikkommission beraten zu lassen, ergibt sich aus 
den Regelungen der Berufsordnungen. Dies gilt immer dann, wenn im Rah- 
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men eines Forschungsprojekts in die psychische oder körperliche Integrität 
eines Menschen eingegriffen wird oder personenbezogene Proben oder Daten 
verwendet werden ($ 15 MBO). Für Forschungsvorhaben im Anwendungsbe- 
reich des Arzneimittelrechts ist eine Prüfung gemäß $ 40 (1) AMG verpflich- 
tend, gleiches gilt für nach Medizinproduktegesetz geregelte klinische Prü- 
fungen ($ 20 [7] MPG). Gleichwohl soll der hier vorgelegte konzeptionelle Rah- 
men die Überprüfung von Forschungsprojekten in Bezug auf datenschutz- 
rechtliche Fragen durch Ethikkommissionen vereinfachen und verbessern 
helfen. Gerade die Abstimmung und Prüfung einrichtungsübergreifender und 
auf Langfristigkeit angelegter Datensammlungen mit ihren entsprechend 
aufwändigen Schutzprinzipien wird von einem allseits anerkannten Bezugs- 
rahmen profitieren und beschleunigt werden. 


Die Prüfung datenschutzrechtlicher Aspekte betrifft zudem nur einen Teil des 
Aufgabenspektrums der Ethikkommissionen. Ihr Auftrag umfasst die Prüfung 
der medizinischen Forschung am Menschen aus ethischer, rechtlicher und 
sozialer Sicht und geht wesentlich auf die Deklaration von Helsinki zurück 
[26]. So ist beispielsweise bei interventionellen Studien das Studiendesign da- 
raufhin zu prüfen, ob alle schonenderen oder weniger riskanten Untersu- 
chungsmöglichkeiten sorgfältig erwogen und begründet ausgeschlossen wur- 
den. Andererseits ist auch abzuklären, ob das gewählte Studiendesign samt 
vorgesehener Stichprobengröße überhaupt zu Ergebnissen führen kann, die 
das Risiko für jeden einzelnen Patienten rechtfertigen. Schließlich sind die 
Aufklärungs- und Einwilligungsformulare zu begutachten, was wiederum 
auch datenschutzrechtliche Aspekte betrifft. 


4.5 Ebenen des Datenschutzrechts und der Datenschutzaufsicht 


Viele Forscher stehen zu Beginn der datenschutzrechtlichen Klärung ihres 
Projekts vor zwei Fragen: Welches Datenschutzgesetz gilt für mein Projektund 
welcher Datenschutzbeauftragte ist mein Ansprechpartner? Ein Blick in das 
virtuelle Datenschutzbüro für Deutschland, angeboten vom Unabhängigen 
Landeszentrum für Datenschutz Schleswig-Holstein (ULD), zeigt, dass es 
neben dem Bundesdatenschutzbeauftragten und dem Bundesdatenschutzge- 
setz auch Regelungen und Ansprechpartner für jedes der 16 Bundesländer in 
Deutschland gibt’. Zusätzlich gibt es in öffentlichen Einrichtungen im Regel- 
fall auch noch einen behördlichen und in privat getragenen Einrichtungen ab 
einer bestimmten Größe einen betrieblichen Datenschutzbeauftragten, der 
als Ansprechpartner in Frage käme. Wo also anfangen? 


Das im vorliegenden Text hauptsächlich referierte Bundesdatenschutzgesetz 
gilt nach s ı (2) BDSG für öffentliche Stellen des Bundes und nicht-öffentliche 


15 siehe http://www.datenschutz.de/recht/gesetze/ 
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Stellen, also Einrichtungen in privater Trägerschaft. Eingeschränkt gilt es 
auch für bestimmte Aufgabenbereiche einiger weniger öffentlicher Stellen der 
Länder. Entsprechend sind die Bestimmungen des Bundesdatenschutzgeset- 
zesin Krankenhäusern in privater Trägerschaft anzuwenden, in Universitäts- 
kliniken im Regelfall jedoch nicht, da diese überwiegend öffentliche Einrich- 
tungen der Länder sind. Die datenschutzrechtlichen Belange der öffentlichen 
Stellen der Länder sind in den Landesdatenschutzgesetzen geregelt% ”. 


Sowohl auf Landes- wie auf Bundesebene sind in den Datenschutzgesetzen an 
vielen Stellen die Prinzipien der Europäischen Richtlinie zum Daten- 
schutz 95/46/EG von 1995 umgesetzt. Nicht nur, aber auch aus diesem Grunde 
sind die Ausführungen an vielen Stellen schon weitgehend harmonisiert, so 
dass tatsächlich häufig das Bundesdatenschutzgesetz stellvertretend für die 
Landesdatenschutzgesetze zitiert werden kann. Insofern wäre es auch nicht 
gerechtfertigt, in Bezug auf das Datenschutzrecht in Deutschland von einem 
„Flickenteppich“ zu sprechen. Unübersichtlich wird die Lage allerdings inso- 
fern als das Datenschutzrecht nur subsidiär zu anderen Gesetzen anzuwenden 
ist. Namentlich die Landeskrankenhausgesetze führen daher effektiv zu 
unterschiedlichen datenschutzrechtlichen Bedingungen in den Ländern, ge- 
rade auch für die Sekundärnutzung klinischer Daten, wie bereits weiter oben 
ausgeführt. Einen ersten Überblick hierzu haben Schütze und Oemig ausge- 
arbeitet [27], der allerdings z.B. in Bezug auf das Berliner Krankenhausgesetz 
schon veraltet ist. Aber auch die Landesdatenschutzgesetze unterscheiden sich 
doch so weit voneinander, dass für ein konkretes Projekt ggf. das relevante 
Landesrecht detailliert geprüft werden muss. In größeren Projekten mit der 
Beteiligung mehrerer öffentlicher Einrichtungen wird die Prüfung heute im 
Regelfall die Gesetze mehrerer Länder umfassen müssen. Die Mühseligkeit 
eines solchen Unterfangens zeigt sich u.a. darin, dass auch die Datenschützer 
selbst in ihren Veröffentlichungen eine genaue Prüfung der landesdaten- 
schutzrechtlichen Besonderheiten mitunter vermeiden [z.B. 28, s. Fußnote 26 
aufS. 26]. 


Als direkter Ansprechpartner für ein konkretes Forschungsprojekt kommt der 
Bundesbeauftragte für den Datenschutz eher selten in Betracht. Dabei ist es 
unerheblich, ob private oder öffentliche Stellen in das Projekt involviert sind. 
Ihm obliegt nach $ 24 BDSG im Wesentlichen die Aufsicht über die öffentlichen 
Stellen des Bundes. Die Aufsicht über private Stellen und die öffentlichen Stel- 
len der Länder ist hingegen auf Länderebene geregelt. Für die öffentlichen 


16 Spezifische Regelungen der Kirchen zum Datenschutz sind hier nicht weiter berücksichtigt 

17 In einigen Landesdatenschutzgesetzen finden sich Hinweise auf die teilweise Anwendbarkeit des BDSG auch 
für Einrichtungen in öffentlicher Trägerschaft, wenn diese im Wettbewerb mit privat getragenen Einrichtungen 
stehen, so z.B. in $ 3 BayDSG. Eine Teilnahme am Wettbewerb um Behandlungsverhältnisse kann für öffentlich 
getragene Krankenhäuser im Regelfall angenommen werden. Eine ausführliche und vergleichende Darstellung der 
landesdatenschutzrechtlichen Rahmenbedingungen für die Sekundärnutzung klinischer Daten findet sich in einem 
von der TMF in Auftrag gegebenen und ebenfalls in der TMF-Schriftenreihe veröffentlichten Rechtsgutachten. 
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Stellen ist in den Landesdatenschutzgesetzen die Zuständigkeit der Landes- 
beauftragten für den Datenschutz (LfD) festgelegt. Die Aufsicht über den pri- 
vaten Bereich lag bis vor kurzem in den meisten Ländern bei nachgeordneten 
Behörden der Innenministerien der Länder, z.B. Regierungspräsidien. Der 
Europäische Gerichtshof (EuGH) hat mit Urteil vom 9. März 2010 festgestellt, 
dass diese Kontrollstellen in den Bundesländern staatlicher Aufsicht unter- 
stellt sind und damit das Erfordernis gemäß Richtlinie 95/46/EG, dass diese 
Stellen ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen, nicht um- 
gesetzt ist [29]. Dieses Urteil hatte in den meisten Bundesländern eine Neu- 
ordnung der Datenschutzaufsicht für den privaten Bereich zur Folge, die im 
Ergebnis in allen Bundesländern bis auf Bayern zu einer erweiterten Zustän- 
digkeit der Landesdatenschutzbeauftragten geführt hat. In Bayern ist das 
Bayerische Landesamt für den Datenschutz die zuständige Kontrollstelle für 
nicht-öffentliche Stellen. 


Direkter und erster Ansprechpartner könnte in öffentlichen Institutionen der 
behördliche und in privat getragenen Einrichtungen ab einer gewissen Min- 
destgröße der betriebliche Datenschutzbeauftragte sein. Die frühzeitige Be- 
sprechung von Forschungsvorhaben mit diesen lokalen Ansprechpartnern 
kann grundsätzlich nur empfohlen werden. Allerdings ist es wichtig zu ver- 
stehen, wann darüber hinaus auch die Abstimmung mit den zuständigen 
Landesdatenschutzbeauftragten angestrebt werden sollte. Die Zuständigkei- 
ten von behördlichem bzw. betrieblichem Datenschutzbeauftragten und dem 
Landesbeauftragten für den Datenschutz sowie deren Verhältnis untereinan- 
der werden im Folgenden exemplarisch für öffentliche Einrichtungen in NRW 
dargestellt. Diese Ausführungen sollen das komplexe Zusammenspiel der Zu- 
ständigkeiten beispielhaft veranschaulichen. Sie lassen sich jedoch nicht di- 
rekt auf andere Bundesländer übertragen. Eine Untersuchung der Gegeben- 
heiten in allen Bundesländern würde den Rahmen dieses Leitfadens sprengen. 
Die TMF plant zu diesem Thema ein Rechtsgutachten einzuholen, welches 
dann zu einem späteren Zeitpunkt auf der Website der TMF zur Verfügung ge- 
stellt wird®. 


Die jeweiligen Aufgaben und Zuständigkeiten sind im Datenschutzgesetz 
Nordrhein-Westfalen (DSG NRW) festgelegt. Der behördliche Datenschutzbe- 
auftragte hat nach $ 32a DSG NRW die Sicherstellung des Datenschutzes in der 
Einrichtung zu unterstützen. Konkret hat er hierfür insbesondere gemäß s 8 
DSG NRW ein lokales Verzeichnis automatisierter Verfahren zur Verarbeitung 
personenbezogener Daten (Verfahrensverzeichnis) zu führen und gemäß s 32a 
Absatz ı Satz 7 DSG NRW Vorabkontrollen durchzuführen. Die Aufgaben und 
Befugnisse des Landesbeauftragten für Datenschutz und Informationsfreiheit 
sind in $ 22 DSG NRW geregelt. Der Landesbeauftragte ist Aufsichts- und Kon- 
trollbehörde für Datenschutzfragen in NRW. Gemäß $ 25 DSG NRW hat jede 


18 siehe www.tmf-ev.de/produkte 
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Person das Recht, sich unmittelbar an ihn zu wenden, wenn er bzw. sie der 
Ansicht ist, dass gegen datenschutzrechtliche Vorschriften verstoßen worden 
ist oder ein solcher Verstoß bevorsteht. Der Landesbeauftragte ist zudem ge- 
mäfß s 4a Absatz ı Satz 5 DSG NRW über die Errichtung von Verbunddateien 
und gemäß s 9 Absatz 2 Satz 5 DSG NRW über die Einrichtung automatisierter 
Abruf- und Übermittlungsverfahren zu unterrichten. 


Anfang 2012 hat die Europäische Kommission den Entwurfeiner europäischen 
Datenschutzgrundverordnung (DGVO) vorgestellt [6]. Anders als bei der bis- 
herigen Richtlinie zum Datenschutz, die von den einzelnen Ländern der EU 
in einem jeweils individuellen Verfahren in nationales Recht umzusetzen war, 
würde eine solche Verordnung auf europäischer Ebene direkt nationales Recht 
ersetzen. Damit wäre in weiten Teilen auch eine innerdeutsche Harmonisie- 
rung des Datenschutzrechts, sowohl für private wie für öffentliche Stellen, 
erreicht, was grundsätzlich positiv zu bewerten ist. Zudem enthält der Ent- 
wurfin Artikel 83 Regelungen für die Forschung, die eine lokale Nutzung von 
Daten, vorranging und wenn möglich anonymisiert oder pseudonymisiert, 
auch ohne Einwilligungserfordernis erlauben würden. Dies könnte zumindest 
für lokale oder monozentrische Forschungsprojekte eine große Erleichterung 
bedeuten. 


Allerdings wird dieser Entwurf aktuell auf europäischer Ebene und in den 
Ländern umfassend kommentiert, so dass noch mit einer Reihe von Änderun- 
gen zu rechnen ist. Zudem enthält der Entwurf zahlreiche Ermächtigungs- 
klauseln für die Europäische Kommission, delegierte Rechtsakte in Form von 
Ausführungs- und Konkretisierungsbestimmungen zu erlassen, so auch zu 
Artikel 83 DGVO. Eine abschließende Bewertung dieser europäischen Gesetz- 
gebungsinitiative ist daher noch nicht möglich. 


4.6 Grundprinzipien datenschutzgerechter Lösungen 


Der hier dargelegte konzeptuelle Rahmen für datenschutzgerechte Lösungen 
in der medizinischen Forschung basiert auf einigen elementaren Prinzipien, 
die im Folgenden zusammengefasst dargestellt sind. Auf ausführlichere Dar- 
stellungen zu den einzelnen Prinzipien in anderen Kapiteln wird jeweils ver- 
wiesen. 


Das Risiko einer unerlaubten Reidentifizierung sollte so weitgehend wie 
möglich und nötig ausgeschlossen werden. Weitere Hinweise zur Verhältnis- 
mäfßsigkeit unterschiedlicher Lösungsansätze finden sich in Kapitel 6.7. 


Das Prinzip derinformationellen Gewaltenteilung sieht vor, dass, wenn mög- 
lich und nötig, die gespeicherten identifizierenden Personendaten von den 
medizinischen Daten getrennt aufbewahrt und verwaltet werden. Im Maxi- 
malfall sind hierfür getrennte Institutionen verantwortlich, die keiner ge- 
meinsamen Weisungsbefugnis unterstehen. Zudem kann auch die Verwal- 


58 


4.6 Grundprinzipien datenschutzgerechter Lösungen 


tung eines Zuordnungsschlüssels in die eigenständige Verwaltung eines un- 
abhängigen Treuhänders gegeben werden. Eine ausführliche Darstellung bie- 
tet Kapitel 6.1. 


Das Prinzip sicherer Pseudonyme ergänzt das Prinzip der informationellen 
Gewaltenteilung. Pseudonyme sind langfristig sichere, kryptographisch er- 
zeugte Identifikatoren, die nur entlang vorgesehener und rechtmäßiger Ver- 
arbeitungs- und Genehmigungsprozeduren eine Reidentifizierung von Pro- 
banden ermöglichen. Weitere Informationen sind in Kapitel 6.1 zum ID- 
Management zu finden. 


Das Prinzip der sorgfältigen Abwägung zwischen Anonymisierung und Pseu- 
donymisierung erfordert eine genaue Kenntnis der Anwendungsfälle und 
Nutzungsszenarien. Das Gros der hier dargestellten Anwendungsfälle erfor- 
dert eine langfristige pseudonymisierte Speicherung medizinischer Daten, 
was neben einer Rechtsgrundlage der strikten organisatorischen Einhegung 
samt effektiver Zugangskontrolle bedarf. Andererseits ist beianonymisierten 
Daten immer zu beachten, wie sicher und dauerhaft eine Reidentifizierung 
ausgeschlossen werden kann. Eine Verwendung solcher Daten in Public-Use- 
Files setzt eine nachweisbare Anonymisierung voraus, wie sie z.B. das Konzept 
der k-Anonymisierung (Erläuterung im Glossar) bietet. Genauere Darstellun- 
gen beinhalten das Kapitel 5.3 zu Forschungsdatenbanken und das Kapitel 6.1 
zum ID-Management. 


Das Prinzip rechtlich klar und transparent geregelter Verantwortlichkeiten 
wird durch eine rechtsfähige Organisationsform eines Forschungsverbunds 
unterstützt. 


Das Prinzip der Kombination technischer und organisatorischer Sicherheits- 
maßnahmen wird durch parallele und ergänzende Anwendung technischer 
Vorkehrungen wie z.B. Zugriffsbeschränkungen, kryptographische Transfor- 
mationen, Logging etc. und organisatorischer Regelungen wie z.B. Standard 
Operating Procedures, klare Verantwortlichkeiten, Vier-Augen-Prinzip bei 
wichtigen Entscheidungen usw. umgesetzt und ist für einen hohen Sicher- 
heitsstandard im Regelfall unerlässlich. 


Das Prinzip redundanter Absicherung führt zu einem Schutz der Daten auch 
dann, wenn eine Sicherungskomponente ausfällt. Dies kann z.B. ein kurz- 
fristig unsicher gewordenes kryptographisches oder technisches Verfahren 
sein oder eine unerlaubte Umgehung organisatorischer Regelungen. So wird 
z.B. empfohlen, medizinische und identifizierende Daten nicht gemeinsam 
über öffentliche Netze wie das Internet zu übertragen und zusätzlich für eine 
Verschlüsselung der Inhalte auf dem aktuellen Stand der Technik zu sorgen. 


Das Prinzip möglichst einfacher und ökonomischer Lösungen setzt eine sorg- 
fältige Analyse des konkreten Anwendungsfalls voraus, so dass eine dem 
Schutzbedarf angepasste und den Kriterien der Verhältnismäßigkeit genügen- 
de Implementierung realisiert werden kann. Eine detaillierte Aufstellung re- 
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levanter Kriterien für eine Anpassung des Sicherheitsaufwands findet sich in 
Kapitel 6.7. 


Das Prinzip der bestmöglichen Nutzung aufwändig und womöglich mit per- 
sönlichem Risikoeinsatz der beteiligten Probanden erhobener Daten ist einer- 
seits ein ethisches Gebot, dem jedoch andererseits durch das Prinzip der in- 
formierten Einwilligung Grenzen gesetzt werden. Die Komplexität des hier 
vorgestellten konzeptuellen Rahmens für datenschutzgerechte Lösungen re- 
sultiert ganz wesentlich aus dem Anliegen, auf Langfristigkeit angelegte, 
pseudonymisierte Datensammlungen zu ermöglichen, die vergleichsweise 
zweckoffen für die Forschung genutzt werden können, ohne dass Patienten 
oder Probanden mit ihrer Einwilligung ein unabsehbares Risiko in Bezug auf 
den ethischen und datenschutzgerechten Umgang mit ihren Daten eingehen. 


Zu dem Prinzip der informationellen Selbstbestimmung gehört sowohl das 
Recht auf Wissen als auch das Recht auf Nichtwissen. Wie sichergestellt wer- 
den kann, dass Patienten über ihre Daten und Ergebnisse informiert werden 
können, ohne ihnen dabei nicht gewünschte Informationen aufzudrängen, 
ist den einzelnen Kapiteln zu den verschiedenen Anwendungsfällen mit ihren 
jeweiligen Lösungskonzepten zu entnehmen. Jede Diagnostik, die genetische 
Informationen offenbart, führt in diesem Zusammenhang allerdings zu kom- 
plexen Anforderungen, insbesondere hinsichtlich der informationellen Selbst- 
bestimmung der Angehörigen eines Probanden. Hier ist eine entsprechend 
detaillierte Analyse möglicher Konflikte unerlässlich und jede einmal gefun- 
dene Lösung muss eventuell später an neue Rahmenbedingungen angepasst 
werden. 


Die Vermeidung von Rollenkonflikten ist als wichtiges Prinzip bei der Fest- 
legung der Rollen und Rechte in einem Forschungsverbund zu berücksichti- 
gen. Eine genaue Prüfung auf mögliche Rollenkonflikte ist in jedem For- 
schungsvorhaben unerlässlich, insbesondere sollte jede Umgehung des Prin- 
zips der informationellen Gewaltenteilung ausgeschlossen werden. Weitere 
Hinweise finden sich in Kapitel 6.2.3. 
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Das generische Datenschutzkonzept für medizinische Forschungsverbünde ist 
modular aufgebaut. Die Module unterscheiden sich durch unterschiedliche 
Rahmenbedingungen und Vorgehensweisen und passen somit zu unterschied- 
lichen wissenschaftlichen Fragestellungen. Da ein Forschungsverbund oft 
viele verschiedenartige Forschungsprojekte vereinigt, dienen die Module und 
die zentralen Infrastruktur-Komponenten als Bausteine, aus denen das Daten- 
schutzkonzept des Verbundes zusammengesetzt werden kann. 


Ein medizinischer Forschungsverbund besteht aus bis zu vier Modulen: 


= Klinisches Modul - dieses dient der Gewinnung von Forschungsdaten aus 
dem direkten Behandlungszusammenhang; ferner können hier auch 
einfache oder informelle Forschungsprojekte wie Beobachtungsstudien 
oder Benchmarkingprojekte durchgeführt werden. Der wissenschaftli- 
che Austausch von behandelnden Ärzten mit führenden Experten im di- 
rekten Interesse des Patienten wird gefördert. Der Online-Zugriff auf die 
Daten während der Behandlung ist notwendig. 

= Studienmodul - hier werden klinische Studien durchgeführt, dieauch den 
besonderen Regularien des Arzneimittelgesetzes (AMG) oder Medizin- 
produktegesetzes (MPC) unterliegen können. 

= Forschungsmodul - in diesem werden besonders qualitätsgesicherte Daten 
für langfristige Forschungsprojekte zusammengeführt und vorgehal- 
ten, die für die Behandlung des einzelnen Patienten keine direkte Rele- 
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vanz haben und daher aus dem Behandlungskontext nicht zugänglich 
sein müssen; Beispiele hierfür sind epidemiologische Register. 

= Biobankenmodul - dieses dient der Sammlung und Verwaltung von Bioma- 
terialien (Proben und daraus gewonnene Materialien) für Forschungs- 
zwecke, insbesondere für die Erforschung molekulargenetischer Aspek- 
te einer Erkrankung wie Fragestellungen der genetischen Epidemiologie. 


Die Module unterscheiden sich in ihrer Zweckbestimmung und ihrer Daten- 
prozessierung und unterliegen unterschiedlichen rechtlichen Rahmenbedin- 
gungen. Jedes dieser Module enthält eine spezifische zentrale Datenbank, in 
manchen Fällen auch mehrere gleichartige. Die Module werden durch zent- 
rale Infrastruktur-Komponenten zum Identitätsmanagement für Patienten 
sowie zum Rechtemanagement für Teilnehmer des Forschungsverbundes er- 
gänzt. 


In diesem Kapitel werden die Module einzeln beschrieben, ihre unterschied- 
lichen Rahmenbedingungen und Verfahren spezifiziert und Anleitungen für 
das Datenschutzkonzept von „einfachen“ Forschungsverbünden gegeben, die 
im Wesentlichen nur aus einem Modul bestehen (s.a. Abb. 6). 


Kombinationsvarianten der unterschiedlichen Module wie auch zentrale As- 
pekte des Identitäts- und Rechtemanagements in einem Forschungsverbund 
sind dann Gegenstand des folgenden Kapitels 6. 


Behandlungskontext 


Forschungskontext 


Klinisches 


Studien- 
modul 


Modul 
Statistische 
Identitäts- Auswertung, 
management externe 
Forschung 


Biobank- Export 


modul 


Abb.6 Module eines medizinischen Forschungsverbunds; neben dem Identitätsmanagement 
sind auch andere zentrale Dienste nötig, etwa Rechtemanagement oder 
Datenqualitätsmanagement. 
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5.1 Klinisches Modul 


Das klinische Modul stellt die Adaption des Modells A des bisherigen generi- 
schen TMF-Datenschutzkonzepts dar; die Einordnung in die neue Strukturist 
in Kapitel 6.1.7 beschrieben. 


Die Bezeichnung als „Klinisches Modul“ folgt der Bezeichnung „klinisch-(wis- 
senschaftliches) Forschungsnetz“ aus dem bisherigen Datenschutzkonzept. 
Sie soll darauf hindeuten, dass in diesem Modul klinische Forschung betrieben 
wird, also im Wesentlichen Forschung direkt am Patienten in engem Versor- 
gungsbezug”. Die spezialgesetzlich geregelten klinischen Studien werden we- 
gen ihrer besonderen gesetzlichen und methodischen Rahmenbedingungen 
nicht hier, sondern in das Studienmodul eingeordnet, siehe Kapitel 5.2. 


5.1.1 Zweck und Anwendungsbereich 


Das Ziel des Klinischen Moduls ist die Ableitung und Bereitstellung von For- 
schungsdaten aus dem normalen Behandlungsgeschehen, in erster Linie ohne 
zusätzliche erhebliche Intervention zu Forschungszwecken. Dieses Ziel wird 
beispielsweise im Rahmen von Beobachtungsstudien, der Dokumentation von 
Heilversuchen oder bei gesundheitsökonomischen Studien realisiert und er- 
fordert dazu eine klinisch fokussierte Vernetzung. Die Einsetzbarkeit des Kli- 
nischen Moduls ergibt sich insbesondere bei der Erforschung von Erkrankun- 
gen, die so selten sind oder deren Behandlung so komplex ist, dass sie die 
Leistungsfähigkeit von einzelnen Regelversorgungszentren überfordert. In 
diesen Fällen ist die enge Kooperation und Kommunikation spezialisierter 
Zentren unverzichtbare Voraussetzung sowohl für die effektive Behandlung 
als auch für aussagekräftige Forschungsergebnisse. 


Patienten mit chronischen, seltenen oder besonders schweren Erkrankungen 
werden oft sowohl von ihren Hausärzten als auch zusammen mit breit gefä- 
cherten spezialisierten klinischen Zentren, wie z.B. Spezialkliniken, spezia- 
lisierten niedergelassenen Ärzten, sogenannten Referenzlaboren oder Refe- 
renzpathologien, betreut. Durch das Hinzuziehen spezialisierter und im je- 
weiligen Fachgebiet besonders erfahrener Behandlungsteams soll eine höhe- 
re Diagnostik- und Therapiequalität erreicht werden, als dies alleine im 
Bereich der Regelversorgung möglich ist. Solche Kooperationsstrukturen auf- 
oder auszubauen, ist Aufgabe z.B. der Kompetenznetze in der Medizin oder 
der Netze für seltene Erkrankungen. 


19 Die ebenfalls diskutierte Bezeichnung als „Versorgungsmodul“ wurde - obwohl in einigen Forschungsverbünden 
im Gebrauch - verworfen, da die Verwechslungsgefahr mit den Strukturen der direkten Krankenversorgung zu 
groß ist. 
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Wegen der fundierten Erfahrung und des hier gebündelten Sachverstandes 
tragen die spezialisierten Zentren besondere Verantwortung sowohl für die Ver- 
sorgung nach aktuellem Stand des Wissens als auch in der Weiterentwicklung 
und Evaluation von diagnostischen und therapeutischen Verfahren. Im Bereich 
der Versorgung fallen ihnen oft Aufgaben in der Beratung von Patienten (Zweit- 
meinung) wie auch von Ärzten zu, die an der Regelversorgung beteiligt sind. 
So soll ein vom Zentrum initiierter Behandlungspfad oder Therapieplan im 
klinischen Alltag zumindest teilweise auch von nicht spezialisierten Behand- 
lungsteams heimatnah und kostengünstig durchgeführt werden können. Bei 
Änderungen im Krankheitsverlauf oder zu vorher festgelegten Zeitpunkten 
erfolgt die Wiedervorstellung der Patienten im spezialisierten Zentrum. 


Auch die spezialisierten klinischen Zentren greifen bei ihrer Arbeit wiederum 
auf weitere Spezialisten zurück. So werden beispielsweise besondere Labor- 
untersuchungen oft nichtin allen Zentren durchgeführt, selbst wenn hier auf 
Grund der Behandlung bestimmter Patientenkollektive die Ergebnisse dieser 
Methoden benötigt werden. Die Durchführung hochspezieller Analysen erfolgt 
ebenso oftin einem wiederum hierfür spezialisierten Zentrum, das die Anfor- 
derungen mehrerer klinischer Zentren bündelt und bearbeitet. Die Behandlung 
der oben genannten komplexen Krankheitsprobleme wird so auf viele Exper- 
tenschultern verteilt, um den für den Patienten höchsten Effizienzgrad mit 
dem Ziel des optimalen Behandlungserfolges zu erreichen. Diese intensive Art 
der Behandlung übersteigt die Leistungen der „Regelversorgung“ und wird - 
wenn überhaupt - aus den Mitteln des Forschungsverbundes finanziert. Ins- 
besondere ist sie in Abgrenzung zur reinen Behandlungsdokumentation oder 
gewöhnlichen Patientenakte mit einem deutlich erhöhten Dokumentations- 
aufwand verbunden. Ob dieser erhöhte Dokumentations- und Kommunika- 
tionsaufwand tatsächlich mit einem verbesserten Behandlungserfolg einher- 
geht, istim Idealfall Gegenstand einer systematischen Versorgungsforschung. 


Für diese und weitere ähnliche Szenarien stellt das Klinische Modul einen 
Mechanismus bereit, der die Erhebung und Verarbeitung von klinischen For- 
schungsdaten weitgehend in den Behandlungsprozess integriert. Wesentliche 
Merkmale dieser Integration sind: 


= Erstbehandler stellen den Kontakt zwischen dem Patienten und dem 
Forschungsverbund her. Dazu gehören Aufklärung und Einholung der 
Einwilligungserklärung hinsichtlich der Teilnahme des Patienten an 
dem Forschungsverbund, sowie die Erfassung des Patienten im Klini- 
schen Modul. 

= Erstbehandler und weitere Behandler haben Onlinezugriff auf identifi- 
zierende Daten (IDAT) und medizinische Daten (MDAT), solange ein Be- 
handlungsverhältnis zum jeweiligen Patienten besteht. 

= Alle Behandler dokumentieren ihre jeweiligen Erkenntnisse in einem 
gemeinsamen medizinischen Datenbestand (MDAT), der in einer zent- 
ralen Klinischen Datenbank gespeichert wird. 
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= Alle Behandler können im Umgang mit der Online-Datenerfassung des 
Klinischen Moduls die im jeweiligen Behandlungszusammenhang üb- 
lichen identifizierenden Patientendaten (Name, Vorname, Versicher- 
tennummer, usw.)nutzen. 


Der Kern des Klinischen Moduls besteht aus einer Klinischen Datenbank 
(KDB), die ausschließlich medizinische Daten (MDAT), jedoch keine Identi- 
tätsdaten (IDAT) enthält; jenach organisatorischen Anforderungen (z.B. Tren- 
nung nach Krankheits-Subentitäten) kann das Klinische Modul auch mehre- 
re Klinische Datenbanken beherbergen. Die Identitätsdaten werden in einer 
getrennten Patientenliste (PL) gehalten. Beide Datenbestände sind über einen 
gemeinsamen Schlüssel PID, verknüpft, der ausschließlich zwischen diesen 
beiden Systemen kommuniziert wird, ansonsten jedoch geheim bleibt. Die 
beiden Komponenten Klinische Datenbank und Patientenliste müssen raum- 
lich getrennt angeordnet sein und dürfen nicht derselben Daten verarbeiten- 
den Stelle unterstehen. In einer Klinischen Datenbank wird also das Prinzip 
einer pseudonymen Speicherung bei gleichzeitig personenbezogenem Zugriff 
im Behandlungszusammenhang umgesetzt. 


Innerhalb des Behandlungsgeschehens haben Berechtigte Zugriff auf die Kli- 
nische Datenbank und die Patientenliste und können - wie in den meisten 
Behandlungsszenarien üblich - mit dem Patienten namentlich kommunizie- 
ren. Im Forschungsumfeld besteht kein Zugriff auf die Patientenliste, so dass 
hier nur pseudonymisierte medizinische Daten zur Verfügung stehen. Ein 
Rückgriff auf die Identitäten ist nur unter Mitwirkung des Betreibers der Pa- 
tientenliste möglich, so dass diesem treuhänderische Aufgaben zufallen. 


Im Gegensatz zu einem Studienmodul (s. Kap. 5.2) steht im Klinischen Modul 
die Behandlung der Patienten im Vordergrund, wird aber z.B. im Sinne einer 
Beobachtungsstudie wissenschaftlich begleitet und ausgewertet. Das For- 
schungsziel ist im Gegensatz zum Studienmodul nicht von vornherein durch 
Hypothesen eng umrissen, entsprechend kann die nötige Aufbewahrungs- 
dauer der Daten unbestimmt sein. Diese Offenheit bringt erhöhte Anforde- 
rungen an Patientenaufklärung und -einwilligung mit sich und erfordert ein 
im Vergleich zum Studienmodul strengeres Pseudonymisierungsverfahren - 
das verwendete Pseudonym ist im Gegensatz zum SIC des Studienmoduls 
(s. Kap. 5.2) dem behandelnden Arzt nicht bekannt. 


Auch versorgungsnahe Register, z.B. klinische Krebsregister oder klinische 
Datawarehouses, können bei entsprechender Konstruktion durch ein Klini- 
sches Modul modelliert werden. Das gleiche gilt für wissenschaftsgetriebene 
Studien (IIT), soweit sie nicht unter die Regularien von AMG und MPG fallen. 


Typisch für Verbünde, die nur ein Klinisches Modul haben, ist die auf einen 
langen Zeitraum ausgerichtete Datensammlung, die besondere datenschutz- 
rechtliche Überlegungen und Maßnahmen erfordert. Wichtig ist hier, dass 
der Verbund oder die zentrale Datenbank selbst „die Studie“ ist, auf die sich 
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die Einwilligung bezieht, sodass nicht fürjedes Teilprojekt, das die Daten ver- 
wendet, neue Einwilligungen eingeholt werden müssen. Natürlich bewirkt 
eine umfassende, sogar über eine elektronische Patientenakte hinausgehen- 
de Dokumentation mit erweiterter Datenerfassung für aktuelle oder künftige 
Forschungsfragen einen erhöhten Schutzanspruch, der zwingend zusätzliche 
Schutzmaßnahmen nach sich zieht. In einem größeren Netz werden die Daten 
des Klinischen Moduls (im nötigen Umfang) für Forschungszwecke in der Re- 
gel in andere Module übertragen. Die Konstruktion des Klinischen Moduls 
erlaubt aber auch, insbesondere für kleinere Netze, Forschungsfragen direkt 
mit den Daten des Klinischen Moduls anzugehen. Dafür ist ein anonymisier- 
ter oder, falls dieser nicht zielführend ist, ein pseudonymisierter Export vor- 
gesehen. Für einfache Auswertungen, auch ökonomischer Fragestellungen, 
reicht dabei in der Regel ein anonymisierter Export. 


Das Klinische Modul kann durch eine Bilddatenbank oder eine Biobank er- 
gänzt werden. Hierbei sind zwei Varianten denkbar, die sich durch den An- 
knüpfungspunkt der zusätzlichen Datenbanken unterscheiden: 


= Die Bilddatenbank bzw. Biobank kann über ein eigenes Pseudonym mit 
der Patientenliste verknüpft werden. Die Zusammenführung - auch zu 
Forschungszwecken - erfordert dann immer einen Rückgriff auf die Pa- 
tientenliste, auch wenn die IDAT hierfür nicht benötigt werden. Dafür 
wird das Reidentifizierungsrisiko der Klinischen Datenbank nicht erhöht. 

= Alternativ können Bilddatenbank und Biobank ohne direkte Anbindung 
an die Patientenliste geführt und dafür über geeignete Schlüssel mit der 
Klinischen Datenbank verbunden werden. Dadurch wird der Datensatz 
der Klinischen Datenbank effektiv verbreitert. 


Eine genauere Beschreibung dieser Anbindung ist im Kapitel 6.5 zum Maxi- 
malmodell bzw. Kapitel 5.4 zum Biobankenmodul und dem ausführlicheren 
generischen Datenschutzkonzept für Biomaterialbanken [2] zu finden. 


In einer Klinischen Datenbank können auch Daten von Sensoren am Patienten 
und unterstützenden technischen Geräten („AAL-Daten“) gespeichert werden; 
solche Daten sind den medizinischen Daten zuzuordnen. Die datenschutzge- 
rechte Gewinnung und Übermittlung solcher Daten sowie ihre Qualitätssi- 
cherung bedürfen gesonderter Überlegungen, die nicht Gegenstand dieses 
generischen Datenschutzkonzepts für medizinische Forschungsverbünde sein 
können. Werden in diesem Kontext Daten vom Patienten selbst eingegeben, 
so entspricht dies derin Kapitel 5.2.4 beschriebenen Situation. 


5.1.2 Anwendungsfälle 
5.1.2.1 Patienten in das Klinische Modul aufnehmen 


Als Erstkontakt aus Sicht des Forschungsverbunds ist derjenige Kontakt mit 
dem Erstbehandler zu werten, der - nach entsprechender Aufklärung und Ein- 
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holung derEinwilligung (vgl. Kap. 3.2.3.1) - zu einer Aufnahme des Patienten 
in den Forschungsverbund führt. Hier wird im Wesentlichen ein Eintrag in 
der Patientenliste erzeugt und ein Basisdatensatz in der Klinischen Datenbank 
hinterlegt. Ist der Patient bereits mit gleichen oder ähnlichen Angaben in der 
Patientenliste eingetragen, so ordnet das System den Patienten nach Möglich- 
keit richtig zu und weist, wenn das nicht zweifelsfrei möglich ist, auf die 
mögliche Verwechslungsgefahr hin. Es ist darauf zu achten, dass dabei nicht 
die Identität eines anderen Patienten enthüllt wird. 


5.1.2.2 Rechte an Mit- und Weiterbehandler vergeben 


Die Autorisierung von Mitbehandlern hinsichtlich des lesenden Zugriffs auf 
die zentral gespeicherten Daten erfolgt grundsätzlich durch einen Vorbe- 
handler in Absprache mit dem Patienten oder durch den Patienten selbst; die 
Umsetzung wird, soweit sie nicht automatisiert ablaufen kann, durch einen 
zuständigen Systemadministrator (Datenmanager, evtl. Rechtemanager) vor- 
genommen. So wird z.B. ein Hausarzt bei der Überweisung an eine Spezial- 
klinik vorab die Überweisung selbst und die Erteilung der Zugriffsberechti- 
gung mit dem Patienten besprechen und dann online erteilen, oder, je nach 
Organisation des Forschungsverbunds, dem Rechtemanagement einen ent- 
sprechenden Auftrag erteilen. Die Autorisierung kann explizit einem aktuel- 
len Mit- oder Weiterbehandler erteilt werden. Optional kann sie auch für zu- 
künftige Behandler erteilt werden. Diese Autorisierungen werden in der Pa- 
tientenliste oder in einem separaten Rechtemanagement geeignet hinterlegt. 


5.1.2.3 Daten im Behandlungsprozess erheben 


Grundsätzlich kann jeder Behandler nur auf die von ihm bzw. von seiner 
Dienststelle selbst eingegebenen Daten lesend und schreibend (nachträgliche 
Änderungen werden protokolliert) zugreifen. Durch eine entsprechende Au- 
torisierung (s. o.) kann einem Mit- oder Nachbehandler Einsicht in die Daten 
gewährt werden. 


5.1.2.4 Behandlungsqualität sichern 


Zugriffe zum Zweck der Qualitätssicherung können sich entweder an einzel- 
nen, sachlich zusammenhängenden Angaben im gesamten Bestand oder an 
breit gefächerten Angaben zum einzelnen Patienten orientieren. Letzteres 
kann nur durch (Mit-)Behandler erfolgen. Der ausschließlich lesende Zugriff 
auf begrenzte MDAT kann einzelnen Qualitätsbeauftragten (s. Kap. 5.1.4.6) 
erteilt werden. Hier ist jedoch der Zugang zu den Identitätsdaten der Patien- 
tenliste verwehrt. Außerdem ist darauf zu achten, dass nicht durch die Häu- 
fung von Funktionen in der Qualitätssicherung in einer Hand eine Reidenti- 
fizierung möglich wird. 
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5.1.2.5 Expertenforum organisieren 


In einigen medizinischen Forschungsverbünden ist die Einrichtung von Ex- 
pertenforen sinnvoll, in denen ausgewählte Experten medizinische Aspekte 
von Erkrankungsfällen diskutieren. Dieses Szenario ist vor allem bei seltenen 
Erkrankungen von Bedeutung, aber auch in anderen Verbünden, wenn es um 
schwierige Diagnosen und Therapieempfehlungen geht. Die Experten können 
gezielt angefragt werden oder von sich aus Kommentare zu einem Fall abge- 
ben. Dabei handelt es sich auch haftungsrechtlich nicht um ein Konsil, das 
aufeinem Auftragsverhältnis im Behandlungszusammenhang beruht und in 
der Regel personenbezogen durchgeführt wird. Im Expertenforum werden 
Daten nur pseudonymisiert bereitgestellt. 


a) Fragestellungen für ein Expertenforum: Aufgabe ist die fallbezogene Diskussion zu 
einer Erkrankung. Konkrete Fragen zu Diagnose oder Therapie können gestellt 
werden; es sollen aber auch spontane Beiträge möglich sein, die Hypothesen 
oder Ideen formulieren. Ergebnisse kommen dem behandelten Patienten di- 
rekt zugute. 


b) Teilnehmerkreis: Teilnehmer des Forums sind namentlich benannte Experten, 
die persönlich zum Forum zugelassen werden. Diese können auch im Ausland 
ansässig sein. Die Liste der Experten sollte dem betroffenen Patienten, idea- 
lerweise sogar öffentlich bekannt sein. Empfohlen wird, eine solche Liste 
kontinuierlich aktualisiert im Web bereit zu stellen. Die Einbindung eines 
Expertenforums muss durch die Einwilligungserklärung der Patienten abge- 
deckt sein. Dort ist ggf. auch auf die Möglichkeit der Einbindung ausländi- 
scher Experten explizit hinzuweisen. 


c) Datenspeicherung und Datenzugang: Die Daten werden in der Klinischen Daten- 
bank gespeichert. Der Online-Zugang für die Experten ist für die Dauer der 
Diskussion befristet, etwa 2 bis 4 Wochen; danach wird der Zugang zum je- 
weiligen Fall wieder gesperrt. 


d) Personenbezug: Der Bezug auf die Identitätsdaten ist in diesem Szenario nicht 
notwendig; andererseits ist eine Verständigung nötig, auf welchen Fall sich 
die Diskussion bezieht. Daher ist die Einführung eines Pseudonyms speziell 
für diesen Zweck nötig. Der jeweils im persönlichen Behandlungszusammen- 
hang stehende Arzt, ggf. auch Konsiliar, muss das Pseudonym dem konkreten 
Patienten zuordnen können. Nach Ablauf der Diskussionsfrist wird der Zugang 
zu den Falldaten und zum Pseudonym außer für behandelnde Ärzte gesperrt. 
Das Pseudonym muss allerdings in der Datenbank verbleiben, um auch später 
eingehende Beiträge zu diesem Fall noch zuordnen zu können und auch, um 
die Dokumentation der vorher eingegangenen Beiträge nachvollziehbar zu 
halten. 
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5.1.2.6 Datenqualität sichern 


Für die Datenqualitätssicherung sind unter Umständen umfangreiche Daten- 
zugriffe notwendig (s. dazu Kap. 6.8). Auch Monitoring-Prozesse können im 
Klinischen Modul vorgesehen sein. 


5.1.2.7 Auskunft geben 


Die Patienten haben ein Recht auf Auskunft über die von ihnen gespeicherten 
personenbezogenen Daten. Zudem sind diese auf Verlangen der Patienten auch 
zu korrigieren (vgl. Kap. 4.4.1). Der Patient wendet sich hierzu an den aktuell 
behandelnden Arzt, der Zugriff auf den vollständigen Datensatz des Patienten 
hat und diesem entsprechend Auskunft geben kann. Vom Patienten ge- 
wünschte Änderungen sind, sofern medizinisch unproblematisch, vom be- 
handelnden Arzt vorzunehmen. Sollten Änderungen gewünscht werden, die 
einer medizinisch korrekten Dokumentation widersprechen, muss dies ggf. 
als Rückzug der Einwilligung gewertet werden, so dass der betreffende Daten- 
satz zu löschen oder zu anonymisieren ist. Der behandelnde Arzt muss ver- 
hindern, dass durch Korrekturen oder Löschungen ein aus medizinischer Sicht 
unzutreffendes Bild des Patienten und der Behandlung gezeichnet wird. 


5.1.2.8 Daten sperren, anonymisieren oder löschen 


Die Löschung oder Sperrung kann vom Patienten über jeden teilnehmenden 
Behandler oder über die Netzwerkzentrale beantragt werden. Sie führt ggf. 
zur Entfernung des Eintrags aus der Patientenliste sowie zur Sperrung aller 
klinischen Daten (MDAT). Optional kann der Patient einer Anonymisierung 
zustimmen. Die Durchführung obliegt in jedem Fall dem Betreiber der jewei- 
ligen Datenbank. 


Generell sollte bereits mit der Aufnahme eine Vereinbarung über den Verbleib 
der gesammelten Daten im Todesfall getroffen werden. Im Klinischen Modul 
ist im Todesfall mindestens die Löschung oder Sperrung der IDAT in der Pa- 
tientenliste erforderlich. 


5.1.2.9 Machbarkeit einer Auswertung oder Studie prüfen 


Die Fallsuche dient im Wesentlichen der Feststellung, ob eine gegebene Fra- 
gestellung mit dem aktuellen Bestand mit Aussicht auf Erfolg bearbeitet wer- 
den kann. Sie kann von entsprechend autorisierten Wissenschaftlern online 
vorgenommen werden. Bei der Fallsuche werden nur aggregierte Daten (Fall- 
zahlen, Mittelwerte, etc.) bereitgestellt und für die Ausgabe der Ergebnisse 
von Datenbankabfragen Mindestanzahlen von Datensätzen festgelegt; da- 
durch soll verhindert werden, dass durch geschickt formulierte Abfragen ein- 
zelne Datensätze identifiziert werden können. Der Zugriff aufIdentitätsdaten 
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bleibt verwehrt, ebenso der Zugriff auf einzelne MDAT-Sätze. Dieses Verfahren 
istauch im Forschungsmodul enthalten, siehe Kapitel 5.3.2.4, und kann ggf. 
auch zur Schätzung von Inzidenzen verwendet werden. 


5.1.2.10 Rekrutierung unterstützen 


Um Patienten für klinische Studien zu rekrutieren, ist letztlich ein Rückgriff 
auf MDAT und IDAT notwendig. Das Klinische Modul kann ein besonders ef- 
fizientes Verfahren bereitstellen. Dabei werden gezielt die behandelnden 
Ärzte informiert, deren gemeldete Patienten für eine spezifizierte Studie ge- 
eignet sind. Diese sind letztlich für die eigentliche Rekrutierung verantwort- 
lich. Alternativ können für eine Rekrutierung durch Dritte mittels konseku- 
tiven Zugriffs auf Klinische Datenbank und Patientenliste geeignete Listen 
erstellt und daraufhin die Patienten kontaktiert werden, sofern eine entspre- 
chende Einwilligung vorliegt. 


5.1.2.11 Daten an Forscher weitergeben 


Der Export medizinischer Daten zu Forschungszwecken erfolgt nach wissen- 
schaftlicher, ethischer und datenschutzbezogener Begutachtung durch ent- 
sprechende Gremien. Verantwortlich für den eigentlichen Export (nach Auf- 
trag durch die entsprechenden Gremien) ist der Betreiber der Klinischen 
Datenbank. Der Export erfolgt wenn möglich anonymisiert, sonst pseudo- 
nymisiert. Ein Onlinezugriff ist nicht vorgesehen. 


5.1.2.12 Ergebnisse mitteilen 


Im Rahmen wissenschaftlicher Auswertungen pseudonym exportierter Daten 
des Klinischen Moduls können Ergebnisse entstehen, die für die weitere Be- 
handlung einzelner Patienten relevant oder zumindest von Interesse sein kön- 
nen. In so einem Falle wird zunächst geprüft, ob die Rückmeldung solcher 
Ergebnisse mit dem Patienten vereinbart wurde, oder ob eine dringende me- 
dizinische Notwendigkeit besteht, die Ergebnisse mitzuteilen. Wenn eine 
Mitteilung erforderlich oder gewünscht ist, wird im Regelfall der aktuell be- 
handelnde Arzt informiert und über das Ergebnis der Auswertung in Kenntnis 
gesetzt. Dieser informiert dann den Patienten über das Ergebnis und berät ihn 
hinsichtlich möglicher Konsequenzen. In Ausnahmefällen und falls in dieser 
Form mit dem Patienten vereinbart, kann auch eine Kontaktierung direkt 
durch den Forschungsverbund stattfinden. 


5.1.3 Daten und Datenflüsse 


Der Datenbestand des Klinischen Moduls entsteht durch die kontinuierliche 
interaktive Nutzung des Moduls im Behandlungszusammenhang. Darüber 
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hinaus sind Übermittlungen größerer Datensätze in oder aus der Klinischen 
Datenbank im Rahmen des Klinischen Moduls kaum erforderlich. 


Der Zugriff auf MDAT identifiziert durch IDAT während der Erst-, Weiter- oder 
Mitbehandlung erfolgt in drei Schritten. Nach Prüfen der Berechtigung und 
nach Auffinden des Patienten in der Patientenliste wird ein weiteres, nur für 
diesen konkreten Vorgang verwendetes temporäres Pseudonym - hier Zugriffs- 
ticket (TKT) genannt, im Modell A des bisherigen generischen Datenschutz- 
konzepts als TempID bezeichnet - erzeugt und an den Berechtigten sowie an 
die Klinische Datenbank übermittelt. Der Berechtigte erhält mit dem TKT Zu- 
griff auf die entsprechenden MDAT. Dabei ist die Gültigkeitsdauer des TKT auf 
den Zeitbedarfeiner typischen Arbeitssitzung beschränkt. Der technische Ab- 
lauf wird in der Abbildung 14 im Kapitel 6.1 zum Identitätsmanagement be- 
schrieben. 


Die Erzeugung eines TKT kann unterbleiben, wenn für einen bestimmten Vor- 
gang nur der Zugriff auf eine der beiden Komponenten erforderlich ist. Bei- 
spiele hierfür sind ein Update der IDAT, z.B. nach Namensänderung, oder ein 
Export von Forschungsdaten. 


Das im Klinischen Modul verwendete Pseudonym PID, wird zu keinem Zeit- 
punkt an einem weiteren Ort außer der Patientenliste und den Klinischen 
Datenbanken, in denen der Patient geführt wird, gespeichert. 


Datenflüsse zwischen dem Klinischen Modul und evtl. vorhandenen weiteren 
Modulen des Forschungsverbundes werden in Kapitel 6 beschrieben, insbe- 
sondere in den Kapiteln 6.3 und 6.5. Der direkte Datenexport aus der Klini- 
schen Datenbank zu Forschungszwecken ähnelt dem aus der Forschungsdaten- 
bank, sofern dort kein Online-Zugriff vorgesehen ist, siehe Kapitel 5.3.2.9. 


Externe Forscher können, da für den Export stets neue (Einmal-)Pseudonyme 
verwendet werden, selbst kein Follow-up durchführen, sondern benötigen im 
Bedarfsfall immer einen Export der gesamten Historie. Dadurch wird insbe- 
sondere der Aufbau einer externen Schatten-Datenbank verhindert. 


5.1.4 Nutzer, Rollen und Rechte 


Das Klinische Modul betrachtet überwiegend die Rollen des behandelnden 
Arztes (in der Regel mehrere Ärzte für jeden einzelnen Patienten) und des Wis- 
senschaftlers, dazu verschiedene Systemadministratoren. 


5.1.4.1 Behandelnder Arzt 


Die im Behandlungsprozess tätigen Ärzte erwarten von einer klinisch fokus- 
sierten Vernetzung eine Optimierung ihrer Prozessstrukturen, um so Diag- 
nostik und Therapie für ihre Patienten verbessern zu können. Da die suffizien- 
te Zuarbeit der Kliniker zur Forschung auch bei maximaler technischer Hilfe- 


71 


5 Module des Datenschutzkonzepts 


stellung, nicht zuletzt durch den zusätzlichen Aufwand bei der Patientenfüh- 
rung und -aufklärung, immer Mehrarbeit erfordert, erwarten die klinisch 
tätigen Ärzte von der klinisch-wissenschaftlichen Vernetzung des Klinischen 
Moduls darüber hinaus eine Verminderung redundanter Arbeitsvorgänge. 
Daraus ergeben sich die nachfolgenden Anforderungen: 


= Der Zugriff auf krankheitsbezogene Informationen der Patienten muss 
verwechslungsfrei und fehlerlos möglich sein. Die Erfassung jeglicher 
patientenbezogener Daten muss der Fortschreibung einer Krankenge- 
schichte dienen und bei einer Wiedervorstellung des Patienten verfüg- 
bar sein, auch - mit Einwilligung des Patienten - bei einem Wechsel des 
Behandlers. 

= Dieim Forschungsdatensatz definierten Informationen aus allen im For- 
schungsnetz teilnehmenden diagnostischen und therapeutischen Be- 
reichen (z.B. Arztpraxis, Klinik, Labor), dieim Behandlungsprozess er- 
forderlich sind, sollen patientenbezogen zeitnah und lückenlos zusam- 
mengeführt werden können, um so den Informationsstand zwischen 
den am Behandlungsprozess Beteiligten zu optimieren. 

= Die Doppelerfassung klinischer Daten zur wissenschaftlichen Dokumen- 
tation muss, soweit möglich, vermieden werden, die Ableitung der wis- 
senschaftlich relevanten Daten aus den klinischen Daten ist aus Grün- 
den der Arbeitserleichterung und der Qualitätssicherung anzustreben. 

= Die Suche nach eigenen Patienten anhand beliebiger Suchkriterien so- 
wie einfache Auswertungen über eigene Patienten sollten möglich sein. 


Führen wissenschaftliche Untersuchungen zu Ergebnissen, die für den indi- 
viduellen Patienten relevant sind, so muss der behandelnde Arzt in die Lage 
versetzt werden können, mit diesem Patienten Kontakt aufzunehmen, um 
den Behandlungsprozess an die neue Situation anzupassen. 


5.1.4.2 Laborarzt 


Auch Laborärzte können als behandelnde Ärzte registriert werden, sofern die- 
se einen Untersuchungsauftrag erhalten, der ein für die Behandlung des Pa- 
tienten relevantes Ergebnis ergibt. Laborärzte erhalten einen eingeschränkten 
Zugang zu den klinischen Daten des Patienten in Abhängigkeit von der durch 
sie zu erbringenden Untersuchung. Sie können ihr Ergebnis - sofern dieses 
im Datensatz des Forschungsnetzes vorgesehen ist - online in den klinischen 
Datenbestand eingeben. Laborärzte werden von den behandelnden Ärzten di- 
rekt beauftragt und erhalten dadurch Zugang zur Klinischen Datenbank. 


5.1.4.3 Wissenschaftler 


„Wissenschaftler“ oder „Forscher“ kommen in einem Forschungsverbund in 
verschiedenen Varianten vor und müssen in ihrer Rolle dementsprechend dif- 
ferenziert werden: 
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= derLeiter des Forschungsverbunds oder eines zentralen Teilprojekts (Stu- 
dienleiter) und seine Mitarbeiter, die mit den anfallenden Daten neue 
Erkenntnisse gewinnen wollen, 

= teilnehmende Ärzte mit eigenen Forschungsinteressen, 

= das „biostatistische Personal“ des Forschungsverbunds, das die Auswer- 
tungen direkt vornimmt, 

= externe Forscher, die Daten (evtl. auch Proben) zur Erforschung eigener 
Fragestellungen übermittelt bekommen, z.B. Epidemiologen oder Ver- 
treter der Industrie; dieser Gruppe ist auch ein medizinischer Qualitäts- 
beauftragter, siehe Kapitel 5.1.4.6, zuzuordnen, 

= Experten als Teilnehmer an einem Expertenforum, die durch die Diskus- 
sion seltener Fälle Ideen und Hypothesen für neue Forschungsansätze 
gewinnen können. 


Die beteiligten leitenden Wissenschaftler erwarten durch die Teilnahme am 
Forschungsnetz nicht nur, mehr Patienten in ihre Forschung einzubringen, 
sondern auch den klinischen Bezug ihrer Forschung besser herstellen zu kön- 
nen. Gerade bei chronischen und besonders schweren oder seltenen Erkran- 
kungen sind Rückgriffe auf fallbezogene frühere Informationen und frühere 
biologische Proben oftmals von besonders großem Interesse, wenn Prognose 
und Therapieeffekte betrachtet werden sollen. Die Anforderungen der Wissen- 
schaftler betreffen daher besonders folgende Punkte: 


= Diezentrumsübergreifende Zusammenführung von diagnostischen und 
therapeutischen Daten soll helfen, eine möglichst große Zahl Patienten 
der wissenschaftlichen Evaluation zur Verfügung zu stellen. 

= Eine übergreifende epidemiologische Aus- und Bewertung der fallbezo- 
genen Informationen muss möglich sein. 

= DerZusammenhang der klinisch erhobenen Daten mit den Ergebnissen 
der Forschung, z.B. an biologischen Proben, muss hergestellt werden 
können, um so die Wertigkeit der Untersuchung für den Behandlungs- 
fall besser beurteilen zu können. 


Sonstige teilnehmende Ärzte ohne eigentliche Forschungsinteressen sollen 
Auswertungen über ihre eigenen Patienten machen können oder im Sinne des 
Benchmarking vergleichende Statistiken anfordern können; deren Anferti- 
gung fällt in den Aufgabenbereich des Qualitätsbeauftragten. 


5.1.4.4 Administrator für die Patientenliste (PL) 


Der Betrieb einer Patientenliste wird in Kapitel 6.1 zum Identitätsmanagement 
näher erklärt. Im Zusammenhang mit dem Klinischen Modul ist festzuhalten, 
dass zusätzlich zu den Identitäten auch die Behandlungsbeziehungen zwi- 
schen Ärzten und Patienten in geeigneter Weise ermittelt und abgebildet wer- 
den müssen. Dem Administrator der Patientenliste obliegt im Wesentlichen 
die Überwachung der Zugriffe im Behandlungszusammenhang. Zu den Auf- 
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gaben des Administrators gehören auch manuelle Korrekturen bei Falschein- 
gaben in die Patientenliste oder bei softwareseitig unauflösbaren Namens- 
konflikten. 


5.1.4.5 Administrator für eine Klinische Datenbank (KDB) 


Der Betrieb einer Klinischen Datenbank erfolgt weitgehend unabhängig von 
der Patientenliste. Jedoch müssen beide Datenbanken kompatible Identitäts- 
merkmale verwenden. Dazu gehört sinnvollerweise, wenn auch nicht zwin- 
gend erforderlich, die Verwendung der gleichen Benutzernamen, z.B. im Rah- 
men eines netzweiten einheitlichen Benutzer- und Rechtemanagements. 


5.1.4.6 Qualitätsbeauftragter 


Der Qualitätsbeauftragte bearbeitet Fragestellungen der medizinischen Qua- 
litätssicherung und des Benchmarkings. Das erfordert das Aufstellen verglei- 
chender Statistiken. Hierzu benötigt er Zugriff auf geeignete exportierte Teil- 
datensätze der MDAT. In seiner technischen Rolle und seinen Rechten unter- 
scheidet er sich nicht von einem externen Forscher. 


5.1.4.7 Klinischer Monitor 


Im Klinischen Modul kann auch ein Monitoring-Verfahren vorgesehen sein; 
im Gegensatz zum Studienmodul ist dieses hier aber optional. Das Verfahren 
unterscheidet sich jedoch nicht von dem in Kapitel 5.2.4 beschriebenen. 


5.1.5 Verantwortlichkeiten 


Allgemeine Aussagen, die für alle Forschungsverbünde gelten, sind in Kapi- 
tel 6.6, Organisatorische Regelungen, zusammengefasst. 


Zentrales Merkmal des Klinischen Moduls ist die Trennung von identifizie- 
renden und medizinischen Daten in Patientenliste und Klinischer Datenbank, 
die durch verschiedene Daten verarbeitende Stellen betrieben werden. Damit 
soll unterbunden werden, dass eine Stelle Kontrolle über beide Datenbestände 
erhält. Beide Betreiber sind verpflichtet, unabhängige Zugangsmechanismen 
und Zugangsprotokolle vorzuhalten, müssen aber einheitliche Zugriffsricht- 
linien implementieren, wobei ein zentrales Rechtemanagement hilfreich sein 
kann. Dieses kann auch in die (Standard-)Benutzerverwaltung der Klinischen 
Datenbank integriert sein, sofern deren Administration dadurch nicht zu In- 
teressenskonflikten führt. 


Ferner muss die Nutzung der MDAT zu Forschungszwecken bzw. der IDAT zu 
Zwecken der Benachrichtigung bei besonderen Erkenntnissen oder der Rekru- 
tierung für Studien durch den Ausschuss Datenschutz kontrolliert werden. 
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Dieser weist den jeweiligen Administrator der Klinischen Datenbank bzw. der 
Patientenliste entsprechend an. 


5.1.6 Besondere Aspekte der Realisierung 


Software, die für das Datenmanagement des Klinischen Moduls geeignet ist, 
fällt in eine von drei Kategorien: 


= web-basierte Lösungen, die mit Hilfe eines Webservers, einer dahinter lie- 
genden Datenbank und interaktiven Webseiten „selbst gestrickt“ werden, 

= EDC-Systeme, 

m EPA-Systeme (wenn eine pseudonyme Datenhaltung unterstützt wird). 


Es gibt aber bisher keine auf dem Markt verfügbare Software, die die Anfor- 
derungen an ein Klinisches Modul in einem Forschungsverbund vollständig 
abdeckt. Schwachpunkt ist die Erfüllung der Notwendigkeit, MDAT und IDAT 
nirgends außer auf dem Client-Rechner eines behandelnden Arztes gleich- 
zeitig erscheinen zu lassen. Bei einem web-basierten System, bei dem Stan- 
dard-Browser als Clients verwendet werden, besteht zwar grundsätzlich die 
Möglichkeit, aus einem einzigen Webformular Daten von verschiedenen Ser- 
vern abzurufen. Diese als „Cross-Site-Scripting“ bekannte Möglichkeit wurde 
in der Vergangenheit aber als schwerwiegende Sicherheitslücke diskreditiert 
und wird daher in gängigen Sicherheitseinstellungen unterbunden. Derzeit 
können drei mögliche Realisierungsvarianten unterschieden werden: 


1. Bei einer Auftrags- oder Eigenprogrammierung können solche techni- 
schen Möglichkeiten der Datenzusammenführung im Webbrowser ge- 
nutzt werden”, die derzeit nicht als Cross-Site-Scripting angesehen und 
unterdrückt werden. Für einfach gestaltete Szenarien lassen sich so ver- 
gleichsweise leicht umzusetzende Software-Lösungen zur Verfügung 
stellen. 

2. Für gehobene Ansprüche - von denen man zumindest in größeren For- 
schungsverbünden ausgehen muss - wird man in der Regel anstreben, 
ein kommerzielles Datenmanagementsystem (EDC- oder RDE-System) 
einzusetzen, wie es vor allem für klinische Studien auf dem Markt an- 
geboten wird. Solche Systeme halten die strikte Trennung zwischen IDAT 
und MDAT bisher in der Regel aber nicht ein. Verwenden sie für die Ap- 
plikationslogik einen von der Datenbank getrennten Anwendungsserver, 
so lässt sich die Datenzusammenführung auf diesen beschränken. Im 
besonders zu prüfenden Einzelfall könnten die Anforderungen des Kli- 
nischen Moduls dann insofern erfüllt werden, als der Anwendungsserver 
von einem unabhängigen Datentreuhänder betrieben wird. 


20 Z.B. auch ein von der Universität Münster zusammen mit der TMF angebotenes Werkzeug, siehe http://www. 
tmf-ev.de/Produkte/P014012 
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3. Eine dritte Umsetzungsvariante besteht in dem Einsatz einer entspre- 
chenden Proxy-Software in jeder behandelnden Einrichtung, die die ge- 
trennte Anforderung von IDAT und MDAT und die zusammengeführte 
Weiterleitung an den Client übernimmt. 


Näher an den Bedürfnissen der klinischen Dokumentation sind vermutlich 
bestehende Softwaresysteme zur Abbildung von elektronischen Patienten- 
oder Krankenakten (EPA). Bei diesen Systemen ist die pseudonyme Speiche- 
rung samt getrennter Datenhaltung von MDAT und IDAT ebenfalls eine kriti- 
sche Anforderung. Auch für solche Softwaresysteme ist zu klären, welche der 
möglichen Varianten einer abgesicherten Zusammenführung von IDAT und 
MDAT umgesetzt wird. 


Die ohnehin strikt empfohlene kryptographische Absicherung aller Daten- 
übertragungswege hilft im Klinischen Modul auch, die Trennung von MDAT 
und IDAT besonders effektiv umzusetzen: Wenn beide Übertragungswege, 
d.h. von der Klinischen Datenbank und von der Patientenliste zum peripheren 
Client, vollständig verschlüsselt sind und sich die Datenströme nicht außer- 
halb des Clients treffen, kann ein unbefugter Reidentifikationsversuch auch 
nicht mit Hilfe eines Abhörens des Netzes unternommen werden. 


Das Thema der Selbstdokumentation durch Patienten stellt sich im Klinischen 
Modul genau so wie im Studienmodul dar und wird dort behandelt, siehe Ka- 
pitel 5.2.4. 


5.2 Studienmodul 
5.2.1 Zweck und Anwendungsbereich 


Das Studienmodul dient der sicheren Durchführung und Administration ein- 
zelner und klar voneinander abgegrenzter, klinischer Forschungsprojekte. Im 
Unterschied zum Anwendungsbereich des Klinischen Moduls steht jeweils 
eine explizit formulierte klinische Forschungsfrage im Vordergrund. Entspre- 
chend konkret können Zweck und Dauer der Datenspeicherung angegeben 
werden, was ein im Vergleich zum Klinischen Modul vereinfachtes Pseudo- 
nymisierungsverfahren ermöglicht. Beispielhaft hierfür stehen klinische Stu- 
dien zur Bewertung neuer oder neu eingesetzter Medikamente oder Medizin- 
produkte, die gemäß den gesetzlichen Bestimmungen des AMG oder MPG 
durchzuführen sind. Allerdings ist das Studienmodul in seiner Nutzbarkeit 
nicht auf solche gesetzlich geregelten Studien beschränkt. 


21 Gerade in kleineren behandelnden Einrichtungen wie beispielsweise Arztpraxen könnte eine solche Zwischen- 
Station zwischen dem öffentlichen Netz und dem Rechner des behandelnden Arztes auch aus Sicherheits- 
gründen befürwortet werden, weitere Hinweise in [weitere Hinweise in 30] 
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Das Studienmodul muss für einen forschenden Personenkreis, der ggf. keinen 
Behandlungsauftrag des Patienten und möglicherweise auch keinen direkten 
Kontakt zu dem Patienten hat, einen pseudonymisierten oder anonymisierten 
Zugriff auf die Patientendaten erlauben. Allerdings ist in den allermeisten 
Studien oft schon aus Sicherheitsgründen auch ein Rückschluss auf die Iden- 
tität eines Patienten unter bestimmten Umständen notwendig, so dass sich 
die Verwendung anonymer Kennungen verbietet. Im Arzneimittelrecht ist 
zudem die Verwendung von Pseudonymen vorgeschrieben. Im Folgenden wird 
daher nur noch auf die pseudonymisierte Datenhaltung im Studienmodul ein- 
gegangen. Die pseudonymisierte Speicherung und Verarbeitung der Daten im 
Studienmodul setzt als Rechtsgrundlage in aller Regel eine informierte Ein- 
willigung der Probanden voraus (vgl. Kap. 4). Prinzipiell ließe sich ein stark 
vereinfachtes Studienmodul auch mit anonymen Kennungen nutzen; einige 
Anwendungsfälle könnten dann jedoch nicht in der hier beschriebenen Form 
umgesetzt werden. 


Für das Studienmodul wird keine doppelte Pseudonymisierung gemäß Mo- 
dell B in der ersten Version der generischen Datenschutzkonzepte der TMF 
vorausgesetzt. Zusätzliche Schutzmaßnahmen werden erst erforderlich, wenn 
die Daten einer Studie oder eines Forschungsprojekts nach dessen Ende wei- 
terhin in pseudonymisierter Form gespeichert und mit den Daten aus anderen 
Forschungsprojekten zusammengeführt werden sollen. 


5.2.2 Anwendungsfälle 
5.2.2.1 Patienten aufklären und Einwilligung einholen 


Wenn die Kriterien und Voraussetzungen für die Aufnahme eines Patienten 
in eine klinische Studie gegeben sind, klärt der behandelnde Arzt oder Prüf- 
arzt den Patienten umfassend auf und dokumentiert dessen schriftliche Ein- 
willigung (vgl. Kap. 3.2.3.1). Dies kann nur an einer Stelle geschehen, wo die 
Aufbewahrung der identifizierenden Daten der Probanden unproblematisch 
ist. Im Regelfall ist dies die jeweilige ärztlich geleitete, behandelnde Einrich- 
tung oder, im Falle einer übergreifenden Dateninfrastruktur, zusätzlich ein 
zentraler Datentreuhänder. 


Als datenschutzrechtliche Besonderheit in klinischen Studien nach Arznei- 
mittelrecht ist zu beachten, dass der Patient darüber aufzuklären ist, dass 
seine Daten auch nach einem Widerruf weiterhin verwendet werden, falls dies 
gemäß $ 40 (2a) Satz 2 Nr. 3 AMG erforderlich ist, um Wirkungen des zu prü- 
fenden Arzneimittels festzustellen, um sicherzustellen, dass schutzwürdige 
Interessen der betroffenen Person nicht beeinträchtigt werden, oder um der 
Pflicht zur Vorlage vollständiger Zulassungsunterlagen zu genügen. 
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5.2.2.2 Patienten in eine Studie aufnehmen 


Im Anschluss an die Dokumentation der schriftlichen Einwilligung wird für 
einen Patienten ein Subject Identification Code (SIC) als pseudonyme ID er- 
stellt. Der SIC dient im Laufe der Studie zur Identifikation eines Datensatzes, 
gerade auch für die Kommunikation zwischen verschiedenen an der Studie 
beteiligten Personen. 


5.2.2.3 Daten erheben 


Die Erhebung von Studiendaten wird im Regelfall in Kenntnis des konkreten 
Probanden, aber nur unter Verwendung des Pseudonyms durchgeführt. Aus 
der Perspektive eines generischen Datenschutzkonzepts ist es dabei unerheb- 
lich, ob zunächst auf Papier dokumentiert wird und diese Bögen (CRF) in der 
behandelnden Einrichtung oder in einer durch die Studienleitung mit der die 
Datenerfassung und -verarbeitung beauftragten Studienzentralein eine elek- 
tronische Studiensoftware (EDC) übertragen werden oder ob überhaupt keine 
Papier-Bögen mehr eingesetzt werden und direkt eine Eingabe in ein Studien- 
softwaresystem erfolgt. Wichtig ist, dass in allen Fällen die Daten lediglich 
im Zusammenhang mit dem SIC als pseudonymer Kennung und ohne Einsicht 
in die identifizierenden Daten der Probanden dokumentiert werden. 


Dabei können die Studiendaten eines Patienten ggf. auch in verschiedenen 
Einrichtungen oder durch verschiedene Studienärzte erhoben werden. In die- 
sen Fällen ist zu klären, dass für alle beteiligten Stellen das Vorliegen der Ein- 
willigung eindeutig dokumentiert ist und dass alle Daten mit dem gleichen 
SIC als pseudonymer Kennung für eine spätere Zusammenführung versehen 
werden. 


5.2.2.4 Unerwartete Ereignisse managen 


Unerwartete Ereignisse von medizinischer Relevanz können in jedem klini- 
schen Forschungsprojekt auftreten und führen zu bestimmten Kommunika- 
tionsanforderungen. Besonders gesetzlich geregelt sind diese im AMG für kli- 
nische Studien miteinem besonderen, pharmakologisch begründeten Risiko- 
potenzial für die Probanden. Neben der behandlungsseitigen, klinischen 
Dokumentation solcher Ereignisse ist somit auch eine Dokumentation im 
Zusammenhang mit dem Forschungsprojekt notwendig. Hierfür genügt im 
Regelfall die Zuordnung der medizinisch relevanten Daten zu dem Pseudonym 
des betroffenen Probanden. 


In gesetzlich geregelten Studien nach AMG sind darüber hinaus auch gesetz- 
liche Meldepflichten unerwünschter Ereignisse zu beachten. Die Kennzeich- 
nung solcher Datensätze mit den Initialen und Geburtsdaten der Probanden, 
diein Anlehnung an internationale Empfehlungen [z.B. 31] bisher häufig ver- 
wendet wurde, ist nicht als ausreichende Pseudonymisierung anzusehen 
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[11, S. C34]. Die internationalen Vorgaben erlauben jedoch die Verwendung 
echter Pseudonyme in Kombination mit dem Alter des Probanden, wenn ent- 
sprechende nationale Vorgaben dies vorschreiben. Da im AMG die Pseudony- 
misierung der Daten in der Kommunikation mit dem Sponsor einer Studie 
vorgeschrieben ist und dieser wiederum für die Meldung unerwünschter Er- 
eignisse gegenüber den Behörden verantwortlich ist, wird hierfür die durch- 
gängige Verwendung der Pseudonyme - also hier der SICs- mit der Angabe des 
Alters und ohne Angabe des Geburtsdatums empfohlen. Dies gilt auch, wenn 
die Meldepflichten vom Sponsor an den Leiter der klinischen Prüfung oder 
andere Einrichtungen delegiert werden. 


5.2.2.5 Datenqualität sichern 


Auch die Prozesse der Qualitätssicherung klinischer Forschungsdaten sind mit 
einer Kommunikation pseudonymer Daten verbunden, wobei ein Kommuni- 
kationspartner die Zuordnung des Pseudonyms zum Patienten kennt und der 
andere im Regelfall nicht. So können im zentralen Datenmanagement Rück- 
fragen zu den Daten eines Patienten formuliert werden, ohne dass die Identi- 
tätsdaten des Patienten hierfür benötigt werden. Wenn diese Rückfragen vom 
Studienarzt oder anderem ärztlich geführten Personal mit Patientenkontakt 
bearbeitet werden, geschieht dies im Regelfall in Kenntnis der Identität des 
betroffenen Patienten. 


Ein wichtiges Verfahren zur Sicherstellung korrekter Daten in klinischen Stu- 
dien ist das Monitoring. Dies wird durch speziell geschulte und hierfür beauf- 
tragte Personen durchgeführt, die in die beteiligten behandelnden Einrich- 
tungen gehen und dort die erhobenen Daten mit den Quelldaten, im Regelfall 
den Patientenakten, abgleichen. Da dabei ein zusätzlicher Personenkreis 
Kenntnis personenbezogener Daten erhält, müssen die Patienten über dieses 
Verfahren aufgeklärt worden sein und dazu ihre Einwilligung gegeben haben 
(vgl. s 40 (2a) Satz 2 Nr. ı Buchstabe a AMG). 


Eine weitere Möglichkeit zur Sicherung einer hohen Datenqualität ist z.B. die 
Einbindung einer Referenzbefundung (vgl. Kap. 3.2.4.1). 


5.2.2.6 Audit durchführen oder unterstützen 


Durch Audits werden Prozessabläufe hinsichtlich der Erfüllung von Anforde- 
rungen und Richtlinien bewertet. Im Regelfall werden diese von speziell hier- 
für geschulten, unabhängigen und externen Fachleuten durchgeführt. Im 
Kontext von klinischen Studien ist ein Audit Bestandteil der Qualitätssiche- 
rung. Hierbei werden sämtliche Prozesse auf Übereinstimmung mit Studien- 
plan, Richtlinien, SOPs und anderen verbindlichen Festlegungen - auch hin- 
sichtlich Datenschutzmaßnahmen - geprüft. Ein Zugriff auf konkrete Daten 
ist, im Gegensatz zum Monitoring, allenfalls stichprobenartig nötig; ein Per- 
sonenbezug muss im Regelfall nicht offenbart werden. 
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5.2.2.7 Auskunft geben 


Die Patienten haben ein Recht auf Auskunft über die von ihnen gespeicherten 
personenbezogenen Daten. Zudem sind diese auf Verlangen der Patienten auch 
zu korrigieren (vgl. Kap. 4.4.1). Der Patient wendet sich hierzu an den zustän- 
digen Prüf- bzw. Studienarzt, der Zugriff auf den vollständigen Datensatz des 
Patienten hat und diesem entsprechend Auskunft geben kann. Wenn im Falle 
einer AMG-Studie ein Patient die Entblindung seiner Studienmedikation ver- 
langt, so ist dies nach Prüfung im Einzelfall entweder als Prüfplanverletzung 
umzusetzen und zu dokumentieren, oder auch als Rückzug der Einwilligung 
zu interpretieren, dereinen Studienabbruch für diesen Patienten zur Folge hat. 


5.2.2.8 Daten auswerten 


Die Auswertung klinischer Forschungsdaten wird im Regelfall von Personen 
durchgeführt, die keinen direkten Patientenkontakt im Rahmen der Daten- 
erhebung hatten und die die Identitätsdaten der Patienten nicht benötigen. 
In Einzelfällen kann es Abweichungen hiervon geben, wenn z.B. der Sponsor 
einer klinischen Prüfung mit dem Behandler identisch ist (s. Kap. 5.2.3.3 
und 6.2.3.3). Somit können die Daten für die Auswertung in pseudonymisier- 
ter Form bereitgestellt werden, sofern hierfür Gründe vorliegen. Dies können 
z.B. Vorschriften aus dem AMG zur pseudonymisierten Weitergabe von Pa- 
tientendaten an den Sponsor sein oder der Umstand, dass im Rahmen der 
Auswertung mit Ergebnissen zu rechnen ist, die möglicherweise eine perso- 
nenbezogene Rückmeldung an einzelne beteiligte Probanden auch aus Patien- 
tensicht wünschenswert erscheinen lassen und eine solche Rückmeldung ver- 
einbart wurde. Wenn kein Grund für die pseudonymisierte Auswertung vor- 
liegt, werden die Daten in anonymisierter Form bereitgestellt. 


5.2.2.9 Ergebnisse mitteilen 


Nach Auswertung der Daten einer Studie werden den Patienten klinisch rele- 
vante Ergebnisse durch die behandelnden Ärzte mitgeteilt. Alternativ kann 
im Rahmen der Einwilligung vereinbart werden, weitere Ergebnisse mitzu- 
teilen und auch den Kreis der mitteilungsberechtigten Personen zu erweitern. 


5.2.2.10 Daten archivieren 


Die Archivierung aller medizinisch relevanten Behandlungsunterlagen gehört 
zu den allgemeinen ärztlichen Dokumentations- und Aufbewahrungspflichten. 
Der hierfür relevante Rechtsrahmen ist auf eine Reihe allgemeiner (z.B. MBO, 
SGB-V) oder spezialgesetzlicher Regelungen (z.B. RöV, StrlSchV) verteilt. Im 
Rahmen klinischer Studien kommen Regelungen wie das AMG oder das MPG 
hinzu, die neben der ärztlichen Dokumentation eines Behandlungsfalls auch 
zusätzliche Daten und Dokumente fokussieren, die studienspezifisch sind. 
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Hierzu gehören z.B. die Einwilligungserklärungen der Probanden, die Doku- 
mentation unerwünschter Ereignisse oder die Case Report Forms (CRFs) [9; 10]. 


Aus Datenschutzsicht relevant ist, dass auch bei der Archivierung der Studien- 
unterlagen eine Aufteilung in Archive mit Identifikationsdaten und solche 
mit lediglich pseudonymisierten Daten möglich ist. Bei Studien nach AMG ist 
die Pseudonymisierung aller Unterlagen vorgeschrieben, die dem Sponsor 
übermittelt werden. Dieser hat entsprechend nur pseudonymisierte Daten zu 
archivieren, während der Prüfer z.B. auch die unterschriebenen Einwilli- 
gungserklärungen der Probanden rechtssicher aufbewahren muss [9]. 


5.2.2.11 Daten sperren, anonymisieren oder löschen 


Die Probanden in klinischen Forschungsprojekten haben jederzeit das Recht, 
ihre Einwilligung in die Teilnahme zurückzuziehen. Im Regelfall sind dann 
alle zentral wie dezentral gespeicherten Daten zu löschen oder zu anonymi- 
sieren. Im Falle einer Anonymisierung sind die Identitätsdaten zu löschen, so 
dass zwischen diesen und einer vormals pseudonymen Kennung keine Bezie- 
hung mehr hergestellt werden kann. Wenn zusätzlich zu einer zentralen Pa- 
tientenliste auch dezentrale Listen in den behandelnden Einrichtungen ge- 
führt werden, so sind auch in diesen die Einträge für den jeweiligen Probanden 
zu löschen. Wenn davon auszugehen ist, dass die pseudonyme Kennung auf- 
grund ihrer früheren Verwendung von einigen Personen nach wie vor dem 
konkreten Probanden zugeordnet werden kann, so sollte die vormalige pseu- 
donyme Kennung durch eine neue anonyme ID ersetzt werden. 


In klinischen Prüfungen gemäß Arzneimittelrecht ist zu beachten, dass auch 
bei einem Widerruf der Einwilligung bestimmte Daten nach $ 40 (2a) Satz 2 Nr. 2 
und 3 AMG weiterhin pseudonymisiert gespeichert werden müssen. Dies betrifft 
insbesondere die Notwendigkeit einer Übermittlung vollständiger Daten an die 
Oberbehörden im Rahmen eines Zulassungsverfahrens und Fälle, in denen die 
Sicherheit der Probanden anderenfalls nicht gewährleistet werden könnte. In 
Zweifelsfällen sollte zunächst zumindest eine Sperrung der Daten erfolgen. 


Verstirbt ein Proband, so ist analog zum Rückzug der Einwilligung, inklusive 
der im AMG definierten Ausnahmeregelungen, zu verfahren. Eine anonymi- 
sierte Auswertung der bisher erhobenen Daten ist im Regelfall jedoch möglich. 


5.2.2.12 Weitere Anwendungsfälle 


Die folgenden Anwendungsfälle mit Behandlungsbezug sind prinzipiell auch 
im Studienmodul umsetzbar: 


= Auskunft an weiterbehandelnden Arzt 

= Zugriffsberechtigungsvergabe durch Vorbehandler oder Patient an weiter- 
behandelnden Arzt und Auskunft 

= Zugriffsvergabe (Ausführung) durch Datenmanager oder Rechtemanager 
an weiterbehandelnden Arzt und Auskunft 
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Wie solche Anwendungsfälle konkret und vor allem IT-gestützt umgesetzt 
werden können, hängt jedoch sehr von der verwendeten Software, insbeson- 
dere für die Datenerfassung und das Studiendatenmanagement, ab. Kenn- 
zeichnend für das Studienmodul bleibt jedoch der Zugriff auf die zentrale 
Datenbasis mit Hilfe einer pseudonymen ID. Der Zugriff behandelnder Ärzte 
unter Verwendung der identifizierenden Daten der Patienten und die Rege- 
lungen zur dafür nötigen Zugriffsvergabe werden in dem Kapitel 5.1 zum Kli- 
nischen Modul sowie in den Kapiteln 6.1 und 6.2 zum Identitäts- und Rechte- 
management detailliert beschrieben. 


5.2.3 Daten und Datenflüsse 


5.2.3.1 Variante mit zentraler Patientenliste 


Im Regelfall umfasst das Studienmodul drei Arten beteiligter Stellen: 


1. die behandelnden Ärzte bzw. Prüfärzte, respektive die beteiligten Zentren, 

2. eine zentrale Patientenliste samt Administration 

3. und eine oder mehrere Studiendatenbanken mit dem zuständigen 
Personal. 


Grundsätzlich können in einem Studienmodul mehrere Studien mit unter- 
schiedlichen Studienzentralen parallel oder nacheinander durchgeführt wer- 
den, so dass ggf. eine große Zahl behandelnder Einrichtungen und auch meh- 
rere Studiendatenbanken parallel zu verwalten sind. Es wird auch in solchen 
Konstellationen eine zentrale Patientenliste empfohlen. 


Nach Einwilligung des Probanden in die Teilnahme am Forschungsprojekt 
wird das hierzu unterschriebene Dokument entweder in der behandelnden 
Einrichtung oder bei einer zentralen Stelle, die auch die Patientenliste ver- 
waltet, aufbewahrt. Für den Probanden wird eine pseudonyme ID erzeugt, die 
an zentraler Stelle in der Patientenliste zusammen mit den identifizierenden 
Daten gespeichert wird. Der Studiendatenbank als zentralem Dokumenta- 
tionssystem wird entweder eine projekt- oder studienübergreifende ID als PID, 
oder ein studienspezifischer Subject Identification Code (SIC) zur Verfügung 
gestellt. Bei der Nutzung von SICs im Rahmen einer Studie ist eine spätere 
Zusammenführung von Daten möglich, wenn im zentralen ID-Management 
die unterschiedlichen SICs eines Patienten zusammen mit einem einheitli- 
chen PID, verwaltet werden. Die detaillierten Anforderungen an die Erzeugung 
solcher IDs sind im Kapitel 6.1zum ID-Management beschrieben. Eine von der 
TMF zur Verfügung gestellte Software-Komponente hierfür, der PID-Genera- 
tor, ist in Kapitel 6.1.6.1 dargestellt. 


Die behandelnde Einrichtung erhebt die identifizierenden Daten (IDAT) der 
Probanden. Diese werden zusammen mit den Daten über die erhebende Stel- 
le (OrgDAT,,) verschlüsselt an die zentrale Patientenliste geschickt. Diese spei- 
chert IDAT und OrgDAT,, und schickt eine pseudonyme ID, entweder PID, oder 
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SIC, an die behandelnde Stelle zurück. Die behandelnde Einrichtung doku- 
mentiert alle weiteren Daten zum Probanden (MDAT) zusammen mit der pseu- 
donymen ID (PID, oder SIC) und schickt diese an die Studiendatenbank zur 
Speicherung der Daten zur Laufzeit der Studie. 


Die Studiendatenbank und die Patientenliste stehen unter getrennter admi- 
nistrativer Aufsicht, es gibt keine übergreifende Weisungsbefugnis. Die je- 
weiligen Aufgaben und Befugnisse sind in den Regelwerken des Forschungs- 
verbunds definiert. Entsprechend der in Kapitel 6.7 aufgeführten Kriterien der 
Verhältnismäßigkeit kann in bestimmten Fällen von der administrativen 
Trennung auch abgesehen werden. 


In der Studiendatenbank wird im Regelfall auch eine Information über die 
datenliefernde Stelle als Teil des medizinischen Datensatzes (MDAT) gespei- 
chert. Somit wird die Herkunft eines Datensatzes in Bezug auf den Arzt oder 
Prüfer sowohl als Teil der MDAT in der Studiendatenbank wie auch als Teil der 
OrgDAT,, in der Patientenliste gespeichert. Dies ist unproblematisch, solange 
je datenliefernder Stelle oder je Zentrum eine ausreichend große Zahl an Pro- 
banden rekrutiert wird und eine Reidentifikation aufgrund der Kenntnis der 
Einrichtung ausgeschlossen werden kann. Wenn jedoch die Angabe der be- 
handelnden Einrichtung ein nennenswertes Reidentifizierungsrisiko dar- 
stellt, muss diese Information aus dem MDAT-Datensatz entfernt werden und 
darf nur noch als OrgDAT,, als Teil der Angaben in der Patientenliste hinterlegt 
sein. Die doppelte Speicherung der datenliefernden Stelle bzw. der behandeln- 
den Einrichtung führt zu einer vereinfachten Abbildung der Prozesse zur Qua- 
litätssicherung und des Rückfragemanagements, wie auch des Monitorings 
und des Managements unerwarteter Ereignisse. Für diese Prozesse ist eine 
Beteiligung der Patientenliste dann nicht mehr notwendig. Hierfür kann je- 
weils eine direkte Kommunikation zwischen der Studiendatenbank und den 
datenliefernden Stellen genutzt werden. 


Nach Abschluss des Forschungsprojekts oder der Studie sind die Daten der 
Studiendatenbank und der Patientenliste zu anonymisieren oder zu löschen, 
sofern keine Zusammenführung in zweifach pseudonymisierter Form in einer 
Forschungsdatenbank entsprechend der in Kapitel 6.4 beschriebenen Form 
geplant ist. Unabhängig von der weiteren Verarbeitung oder Löschung der 
Daten in der Studiendatenbank müssen ggf. die gesetzlichen Aufbewahrungs- 
pflichten, z.B. für klinische Studien gemäß AMG, berücksichtigt werden. Dies 
kann bedeuten, dass pseudonymisierte Daten weiterhin in einer Studienzen- 
trale aufzubewahren sind, allerdings nicht mehr im direkten Zugriff der For- 
scher. Der Zugriff auf die archivierten Daten ist entsprechend zu regeln. 


5.2.3.2 Variante ohne zentrale Patientenliste 


In bestimmten Fällen wird eine zentrale Patientenliste entweder nicht benö- 
tigt oder nicht umsetzbar sein. Insbesondere wenn Patienten mit hoher Wahr- 
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scheinlichkeit nur in ein einziges Forschungsprojekt eingeschlossen werden 
und die Daten eines Patienten nur in genau einer Einrichtung erhoben wer- 
den, kann eine lokale Erzeugung von Pseudonymen je Einrichtung ausrei- 
chend sein. Allerdings ist zu beachten, dass eine Kontaktaufnahme mit den 
Patienten nicht mehr möglich ist, wenn die behandelnde Einrichtung diese 
nicht mehr vermitteln kann. Problematisch kann eine Umsetzung einer zen- 
tralen Patientenliste sein, wenn allein aus dem Vorhandensein eines IDAT- 
Datensatzes in der zentralen Datei Rückschlüsse aufeine z.B. stigmatisieren- 
de Erkrankung gezogen werden können. Insofern enthalten die IDAT im Re- 
gelfall indirekt auch ein medizinisches Datum wie z.B. die Diagnose. Eine 
zentrale Patientenliste wird im Regelfall nicht beschlagnahmesicher organi- 
siert werden können, auch dann nicht, wenn ein Notar mit der Führung und 
Administration beauftragt wird (s. Kap. 4.2.5). Dies kann für bestimmte Pa- 
tientengruppen eine zentrale Patientenliste so unattraktiv machen, dass aus- 
reichende Rekrutierungsraten verhindert werden. 


Ohne eine zentrale Patientenliste und damit im Regelfall auch ohne eine zen- 
trale treuhänderische Verwaltung der Einwilligungserklärungen, werden die 
Einwilligungserklärungen und die identifizierenden Daten in den behandeln- 
den Einrichtungen verbleiben. Es ist im Regelfall zu empfehlen, eine lokale 
Patientenliste anzulegen und sicher aufzubewahren, da dies im Falle von 
Nachfragen zu einem deutlich schnelleren Auffinden der nötigen Unterlagen 
führt. Die Verantwortlichkeiten für die lokale Patientenliste sind klar zu de- 
finieren und festzulegen. 


In der Studiendatenbank ist in diesem Falle immer die datenliefernde Stelle 
zu vermerken. Die dadurch entstehenden potenziellen Reidentifikationsrisi- 
ken bei Zentren mit sehr geringen Rekrutierungszahlen sind zu berücksichti- 
gen. Die Kommunikation zwischen Studiendatenbank und datenliefernden 
Stellen ist, von dieser Notwendigkeit abgesehen, analog zu der Variante mit 
zentraler Patientenliste konzipierbar. 


5.2.3.3 Identität von Sponsor und Prüfer 


Vornehmlich wissenschaftlich motivierte Arzneimittelstudien, so genannte 
Investigator Initiated Trials (IIT), unterliegen seit der 12. Novellierung des Arz- 
neimittelrechts denselben Regularien wie die industriell gesponsorten Studien 
im Vorfeld einer Zulassung. Damit gilt auch hier das im AMG vorgeschriebene 
Pseudonymisierungsgebot bei Weiterleitung von Daten an den Sponsor. Wenn 
jedoch in einer monozentrischen Studie an einem Universitätsklinikum die 
Rollen des Sponsors und Prüfers zusammenfallen, ist eine durchgängige Pseu- 
donymisierung gegenüber den im Behandlungsverhältnis stehenden Prüfärz- 
ten als Angestellten des Sponsors verzichtbar. Weitere Informationen zu die- 
sem Spezialfall finden sich in Kapitel 4.3.1 zu den ethischen und rechtlichen 
Grundlagen. 
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5.2.4 Nutzer, Rollen und Rechte 


Für die Patientenliste wird ein Administrator und ggf. eine Dokumentations- 
kraft zur Unterstützung benötigt. Diese haben vollen Zugriff auf den IDAT- 
Datensatz und sind entsprechend zum datenschutzgerechten Umgang mit 
diesen Daten zu verpflichten. Insbesondere müssen sie bei Depseudonymisie- 
rungsanfragen die identifizierenden Daten zu den jeweiligen Pseudonymen 
herausgeben, wenn dies von dem hierfür zuständigen Gremium angeordnet 
wird. Solche Gremien, für die die Bezeichnung „Ausschuss Datenschutz“ be- 
nutzt wird, werden ausführlicher in dem Kapitel 5.2.5 zu den Verantwortlich- 
keiten und bei den organisatorischen Regelungen in Kapitel 6.6 beschrieben. 


Für die Studiendatenbank ist ebenfalls administratives Personal notwendig. 
Zudem sind hier die Mitarbeiter des zentralen Datenmanagements anzusie- 
deln, die Zugriff auf die Daten aller Probanden in der Studiendatenbank haben. 


Die Studienärzte oder Dokumentationskräfte in den behandelnden Einrich- 
tungen sollten nur die Daten ihrer Probanden sehen. Dies ist auch bei einem 
Electronic Capture System (EDC)-oftauch als Remote Data Entry System (RDE) 
bezeichnet - umzusetzen, in dem sowohl die Probanden, als auch die Prüfer 
jeweils genau einer datenliefernden Stelle zugeordnet werden. 


Vermehrt werden auch Patienten selbst in die Dokumentationsabläufe ein- 
gebunden. So sind z.B. bei Forschungsprojekten zum Thema „Schmerzen“ 
zunehmend „Schmerztagebücher“ durch die Patienten selbst zu führen. Hin- 
tergrund dessen ist unter anderem die schon länger bekannte aber erst in der 
jüngeren Vergangenheit vermehrt diskutierte Unsicherheit retrospektiver 
Auskünfte von Patienten bei dem gleichzeitigen Wunsch nach möglichst re- 
levanten und validen Endpunkten [vgl. z.B. 32]. Solche Funktionen können 
effektiv auch durch EDC-Systeme unterstützt werden, wobei dann sicherge- 
stellt werden muss, dass die Patienten nur jeweils auf ihre eigenen Daten zu- 
greifen können. Zudem ist darauf zu achten, dass eine potenziell unsichere 
Systemumgebung beim Zugriff durch Patienten nicht die Sicherheit des Ge- 
samtsystems gefährden darf. 


In klinischen Studien, in denen eine bestimmte Datenqualität vorgeschrieben 
ist, werden Monitore eingesetzt, die die eingegebenen Daten auf Plausibilität 
und ggf. Übereinstimmung mit den Quelldaten überprüfen. Diese müssen 
sowohl Zugang zu den von ihnen zu überprüfenden zentralen Patientendaten, 
wie auch zu den Quelldaten in den beteiligten Zentren und behandelnden Ein- 
richtungen haben. Da dieser Nutzerkreis außerhalb des Behandlungsverhält- 
nisses steht und gleichzeitig auch Zugriff auf nicht pseudonymisierte Unter- 
lagen hat, müssen Patienten entsprechend darüber aufgeklärt werden und 
darin einwilligen. Eine klare Verpflichtung aller Beteiligten auf einen daten- 
schutzgerechten Umgang mit den Daten ist unerlässlich. 


Im Rahmen klinischer Prüfungen nach AMG ist eine definierte Sponsorschaft 
Voraussetzung für die Zulassung der Studie. Ergänzend zu den Regelungen 
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für die Nutzer im Studienzentrum können auch besondere Zugriffsregeln an 
eine Sponsorrolle gebunden sein. Dies hängt davon ab, welche Aufgaben des 
Sponsors an die Studienzentrale delegiert werden. Einzelne Aufgabenfelder 
wie das SAE-Management oder die Archivierung der Daten können vom Spon- 
sor an die Studienzentrale delegiert oder auch selbst übernommen werden. 
Entsprechend muss das Rollen- und Rechtesystem die Aufgabenverteilung 
abbilden können. 


5.2.5 Verantwortlichkeiten 


In einem Studienmodul ist möglicherweise die Verantwortlichkeit für die 
Durchführung einer einzelnen Studie von der Verantwortlichkeit für die Infra- 
struktur und das Studienmodul insgesamt zu trennen. Beide Verantwortlich- 
keiten, auch wenn sie von derselben juristischen Person übernommen wer- 
den, sollten klar geregelt und transparent dargestellt werden. Auf der Ebene 
einer einzelnen Studie ist ggf. auch die gesetzlich vorgeschriebene Verantwort- 
lichkeit eines Sponsors festzulegen, wenn die Studie in den Anwendungsbe- 
reich des AMG oder MPG fällt. Wichtig ist die Festlegung einer übergeordneten 
Verantwortlichkeit dann, wenn die Daten nach der Beendigung einer Studie 
weiterhin pseudonymisiert vorgehalten und genutzt werden sollen 
(vgl. Kap. 6.4) oder wenn eine Studieninfrastruktur rechtlich unabhängig von 
einem oder mehreren Sponsoren einzelner Studien betrieben wird. 


Die Gesamtverantwortung für das Studienmodul wird im Regelfall in der Stu- 
dienzentrale liegen, die ggf. eine externe Einrichtung mit dem Aufbau und 
Management der Patientenliste beauftragt. Allerdings sind bei einer Einbet- 
tung des Studienmoduls in eine übergreifende Forschungsinfrastruktur auch 
andere Verantwortlichkeiten denkbar. So könnte die zentrale Verantwortlich- 
keit auch bei der Netzwerkzentrale eines übergeordneten Forschungsverbunds 
angesiedelt sein, insbesondere dann, wenn diese ggf. wechselnde Studien- 
zentralen mit der Durchführung von Forschungsprojekten beauftragt. 


In jedem Falle ist eine klare Benennung der Verantwortlichkeiten vorzuneh- 
men. Insbesondere wird die Einrichtung eines zentralen Gremiums vorge- 
schlagen, welches über datenschutzrechtlich sensible Fragen, wie z.B. solche 
der Depseudonymisierung, zu entscheiden hat. Hierfür wird der Begriff „Aus- 
schuss Datenschutz“ verwendet. Eine solche zentrale Einrichtung sollte zu- 
dem die Richtlinien und Policies im Umgang mit den Daten vorgeben. 


Die Patientenliste ist der sensibelste Teil des Identitäts-Managements und ist 
damit, wenn sie zentral geführt wird, ein besonders schützenswerter Bereich. 
Datenschutzrechtlich ist zu berücksichtigen, dass die IDAT, obwohl sie in der 
Patientenliste nicht mit medizinischen Daten (MDAT) kombiniert werden, 
den betroffenen Personenkreis als Patienten eines Forschungsnetzes mit 
einem umschriebenen Krankheitsspektrum ausweisen können. Im Falle eines 
stigmatisierenden oder in anderer Hinsicht besonders sensiblen Krankheits- 
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bereichs ist daher eine auch in den Augen der betroffenen Patienten besonders 
vertrauenswürdige Stelle mit der Führung der Patientenliste zu beauftragen. 


Die Studiendatenbank mit den medizinischen Daten (MDAT) und ggf. organi- 
satorischen Daten unterliegt der Verantwortlichkeit der Leitungsebene der 
Studienzentrale bzw. den von dieser hierfür benannten Verantwortlichen. Die 
Verantwortlichkeit hierfür kann zudem in übergreifenden Forschungsinfra- 
strukturen in übergeordnete Verantwortlichkeiten eingebettet sein. 


Nicht zu vergessen sind notwendige Regeln und Verantwortlichkeiten in den 
beteiligten Einrichtungen, in denen die Patienten untersucht und Daten er- 
hoben werden. Wenn die Dateneingabe mittels EDC direkt in ein zentrales 
System erfolgt, sind auch Regeln für den Umgang mit den Zugangskriterien 
(z.B. Passwörter, PINs oder Chipkarten) zu definieren und einzuhalten. Hier- 
für müssen Verantwortliche in den beteiligten Einrichtungen festgelegt wer- 
den. Gleiches gilt für den Umgang mit einer lokalen Patientenliste, die übli- 
cherweise ergänzend zu einer zentralen Liste geführt wird. 


Wenn die Verantwortung für die Durchführung einer Studie bei einer vom 
Studienmodulrechtlich unabhängigen Stelle liegt, z.B. einem Sponsor gemäß 
AMG oder MPG, so hat dieser das Studienmodul bzw. einzelne Stellen wie die 
Studienzentrale oder an der Studie teilnehmende Zentren mit der Durchfüh- 
rung der relevanten Teilaufgaben zu beauftragen. Verantwortlichkeiten für 
Teilaufgaben wie z.B. die Datenerfasssung oder auch die Archivierung von 
Studiendaten können delegiert werden. Dabei hat ein Sponsor gemäß AMG 
jedoch die Pflicht, sich von der Eignung aller Beauftragten hinsichtlich einer 
GCP-konformen Durchführung einer Studie zu überzeugen und dies in aus- 
reichende Maße zu kontrollieren. Weitere Hinweise zur Sponsorschaft in 
klinischen Prüfungen nach der ı2. AMG-Novelle können einem Kurzgutachten 
der Kanzlei Sträter entnommen werden [33]. 


5.2.6 Aspekte der Realisierung 


Für die IT-Unterstützung klinischer Studien ist im Regelfall die Verwendung 
eines Studiensoftwaresystems empfehlenswert, welches z.B. die Definition 
elektronischer Eingabeformulare (Electronic Case Report Forms, eCRF) erlaubt, 
die von den beteiligten Einrichtungen für eine dezentrale Dateneingabe (Elec- 
tronic Data Capture, EDC) genutzt werden können. Aus Datenschutzsicht ist 
entscheidend, dass solche Systeme eine verschlüsselte Übertragung der Daten 
(SSL) garantieren und zudem sicherstellen, dass keine identifizierenden Daten 
in direktem Zusammenhang mit medizinischen Daten erfasst und an den 
zentralen Server übermittelt werden. Zudem sollte gewährleistet sein, dass 
die Mitarbeiter eines beteiligten Zentrums nur die Daten „ihrer“ Patienten 
einsehen und verändern können. Wenn Patienten in die Dokumentation der- 
art eingebunden werden, dass sie auch einen Zugang zu dem Softwaresystem 
bekommen, muss darüber hinaus sichergestellt sein, dass jeder Patient nur 
seine eigenen Daten sieht und ggf. bearbeiten kann. 
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Solche Softwaresysteme bieten im Regelfall auch eine Funktion für die Erzeu- 
gung pseudonymer IDs (als Subject Identification Code, SIC), so dass für die 
Durchführung einzelner Studien ggf. kein zusätzliches Pseudonymisierungs- 
tool benötigt wird. Zu berücksichtigen ist allerdings, dass häufig keine zent- 
rale Speicherung und Verwaltung der identifizierenden Daten mit angeboten 
wird. Eine Reidentifizierung eines Patienten ist dann nur mit Hilfe der de- 
zentralen Listen in den beteiligten Einrichtungen oder bei manueller Durch- 
sicht der ggf. zentral hinterlegten Einwilligungserklärungen möglich. Spä- 
testens wenn ein übergeordnetes ID-Management benötigt wird, z.B. für die 
Zuordnung von Datensätzen eines Patienten aus mehreren Studien zueinander 
oder bei Beteiligung mehrerer Softwaresysteme mit unterschiedlichen Pseu- 
donymisierungsvorgaben oder -funktionen, reichen die Funktionen dieser 
Softwaresysteme üblicherweise nicht mehr aus. In diesen Fällen empfiehlt 
sich die Verwendung einer hierfür spezialisierten Softwarekomponente, wie 
z.B. des PID-Generators der TMF. Eine solche Software hat die Aufgabe, ent- 
weder für jede einzelne Studie einen SIC entgegenzunehmen und zusammen 
mit den IDAT zu verwalten oder jeweils einen SIC auf Basis der IDAT selbst zu 
erzeugen und herauszugeben. Ein übergeordnetes ID-Management erfordert 
darüber hinaus die Zuordnung mehrerer SICs zu einem Patienten über ein 
übergeordnetes Pseudonym, den PID,. Die Nutzung eines PID, für eine dauer- 
hafte Zusammenführung von Daten aus mehreren einzelnen Forschungspro- 
jekten oder Studien ist in Kapitel 6.4 beschrieben. 


Für die Nutzung in klinischen Studien nach AMG entsprechen fertig entwi- 
ckelte Softwaresysteme üblicherweise hinsichtlich Funktionsumfang, Quali- 
tätssicherung und Dokumentation den umfangreichen gesetzlichen Vorgaben 
bzw. den Kriterien der Good Clinical Practice (GCP). Hierzu gehört z.B. die 
Funktion eines umfassenden Audit-Trails, in dem alle Änderungen an Daten- 
sätzen nachvollziehbar gespeichert werden. Eigenentwicklungen oder nicht 
für AMG-Studien konzipierte Systeme genügen solchen Anforderungen häufig 
nicht. Bei Nutzung einer zusätzlichen Softwarekomponente für das zentrale 
ID-Management ist zu beachten, dass letzteres entsprechend den gesetzlichen 
Vorgaben und internationalen Regularien nur dann zu validieren ist, wenn 
die Softwarekomponente in das ID-Management einer einzelnen Studie ein- 
greift. Wenn das zentrale ID-Management hingegen im Rahmen einer Studie 
nur vom validierten Studiensoftwaresystem generierte SICs entgegennimmt 
und diese nur für studienübergreifende Zwecke, wiez.B. Metaanalysen, wie- 
der herausgibt, dann kann eine Validierung gemäß GCP für die Softwarekom- 
ponente des zentralen ID-Managements entfallen. 


5.3  Forschungsmodul 


Das Forschungsmodul stellt die Adaption des Modells B des bisherigen gene- 
rischen Datenschutzkonzepts der TMF dar; die Einordnung in die übergeord- 
neten Strukturen ist in Kapitel 6.1.7 beschrieben. 
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Die Bezeichnung als „Forschungsmodul“ bedeutet nicht, dass in den anderen 
Modulen keine Forschung stattfindet, sondern bezieht sich auf das Charakte- 
ristikum, dass hier die Forschung vom direkten klinischen Bezug entkoppelt 
und insbesondere nicht mit der direkten Krankenversorgung verzahnt ist. Das 
Forschungsmodul sieht zudem primär keine eigene Datenerfassung vor, son- 
dern übernimmt Daten aus einem Klinischen (vgl. Kap. 5.1) oder Studien-Mo- 
dul (vgl. Kap. 5.2) oder einer anderen geeigneten Datenquelle. 


Ein Forschungsmodul kapselt eine oder mehrere Forschungsdatenbanken mit 
der dazu nötigen Infrastruktur. Es können beispielsweise unterschiedliche 
Datentypen zu einem Patienten (z.B. Bilder, genetische Daten etc.) in unter- 
schiedlichen Datenbanken abgelegt sein, auf die über das Forschungsmodul 
zugegriffen werden kann. 


5.3.1 Zweck und Anwendungsbereich 


Das Forschungsmodul dient dazu, medizinische Daten hoher Qualität lang- 
fristig - auch für zukünftige Forschungsprojekte - zur Verfügung zu stellen. 
Daraus ergibt sich, dass der Verwendungszweck sowie die Lebensdauer der 
Daten weniger konkret angegeben werden können, als dies für das Studien- 
modul, wie es in Kapitel 5.2 beschrieben ist, gilt. Die Einsatzmöglichkeiten 
eines Forschungsmoduls sind sehr weit gefasst. Dies können gesundheitsöko- 
nomische oder epidemiologische Studien sein, aber auch die Ermittlung von 
Fallzahlen bzw. von Patienten für klinische Studien kann ermöglicht werden. 
Im Gegensatz zum Klinischen Modul ist ein unmittelbarer Behandlungsbezug 
der gespeicherten Daten nicht notwendigerweise gegeben. Mit Hilfe eines 
Forschungsmoduls können große Kollektive abgebildet werden, die über einen 
längeren Zeitraum beobachtet werden, ohne dass die Vertraulichkeit der In- 
formation angetastet wird. Eine direkte Verknüpfung der Identitätsdaten mit 
den medizinischen Daten einer Forschungsdatenbank ist generell ausgeschlos- 
sen, da kein zur unmittelbaren Identifikation eines Patienten führendes Merk- 
mal-wiez.B. der PID des Klinischen Moduls - als Ordnungskriterium in einer 
Forschungsdatenbank geführt wird. Das Forschungsmodul kann medizinische 
Daten zu einem Patienten aus mehreren Studien oder Systemen verwalten und 
bietet Forschern somit einen Datenpool, der sich zur Generierung neuer Fra- 
gestellungen oder für Sekundärauswertungen eignet. 


Die medizinischen Daten des Forschungsmoduls können potenziell nicht nur 
den Forschern, die direkt an einer Studie beteiligt sind, zur Verfügung gestellt 
werden, sondern auch anderen Forschern eines Forschungsverbundes, exter- 
nen Forschern oder auch der Industrie. 


Je nach Aufbau des Forschungsmoduls bzw. abhängig von den Regularien eines 
Forschungsverbundes wird den Forschern ein direkter Zugang auf die Daten 
in den Datenbanken gewährt oder ein Export der Daten übermittelt. Beieinem 
direkten Zugriff auf die Forschungsdatenbanken können für die Sekundär- 
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nutzung von Daten aus der klinischen Forschung komfortable Such-, Filter- 
und Selektionsmechanismen zur Verfügung gestellt werden. 


5.3.2 Anwendungsfälle 
5.3.2.1 Probanden in das Forschungsmodul aufnehmen 


Anders als beider Aufnahme in andere Module eines Forschungsverbunds wird 
die Aufnahme in das Forschungsmodul im Regelfall nicht interaktiv und im 
Kontakt zum betroffenen Probanden oder Patienten stattfinden. Allerdings 
setzt auch die Übermittlung eines personenbezogenen Datensatzes in das For- 
schungsmoduleineinformierte Einwilligung des Betroffenen (vgl. Kap. 3.2.3.1) 
voraus. Daher ist das Vorliegen einer ausreichenden Einwilligung, diezudem 
die typischerweise mit der Übermittlung in das Forschungsmodul einherge- 
hende Zweckänderung und Langfristigkeit der Speicherung abdeckt, vor der 
Übermittlung zu prüfen. 


5.3.2.2 Datenqualität sichern 


Wird das Forschungsmodul mit anderen Modulen (z.B. dem Studienmodul 
oder Klinischen Modul) gekoppelt, so können schon vorhandene Daten eines 
Patienten aus dem Forschungsmodul zum Zwecke der Qualitätssicherung ge- 
nutzt werden. Eine genaue Beschreibung befindet sich im Kapitel 6.3 zum 
kombinierten Einsatz von Studien- und Forschungsmodul. 


5.3.2.3 Daten mit externen Quellen abgleichen 


Im Zuge eines Forschungsvorhabens können neben dem Datenbestand der 
Forschungsdatenbank auch Informationen aus externen Datenquellen z.B. 
dem Melderegister oder Daten der Gesundheitsämter herangezogen werden. 
Dies können beispielsweise Anfragen an die Einwohnermeldeämter sein, ob 
die in einem Forschungsvorhaben betrachteten Personen noch leben. Bei 
einem Datenabgleich sind die datenschutzrechtlichen Bestimmungen der 
datenliefernden Stelle zu berücksichtigen. Zusätzlich muss der Datenabgleich 
durch das Forschungsvorhaben gut begründet sein. Gegebenenfalls muss ent- 
schieden werden, ob das Interesse der Allgemeinheit an diesem Forschungs- 
vorhaben das Recht der einzelnen Person auf informationelle Selbstbestim- 
mung überwiegt. Auf die rechtlichen Rahmenbedingungen zum Abgleich mit 
externen Datenbeständen wird im Kapitel 4.3.4 genauer eingegangen. 


5.3.2.4 Machbarkeit einer Studie prüfen 


Um die Machbarkeit einer Studie prüfen zu können, müssen Indizien dazu 
ausgewertet werden, wie viele den spezifizierten Ein- und Ausschlusskriterien 
entsprechende Patienten innerhalb einer bestimmten Zeitspanne zu erwarten 
sind. Die Information, ob die Patienten eingewilligt haben, über weitere Stu- 
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dien informiert zu werden, kann bei der Machbarkeitsprüfung einer Studie 
ggf. mit berücksichtigt werden. 


Die Machbarkeitsprüfung einer Studie auf Grundlage der Daten des Forschungs- 
moduls, kann durch drei unterschiedliche Verfahren realisiert werden: 


= Der Forscher erhält direkten Zugriff auf die Forschungsdatenbank und 
kann durch Abfragen der Ein- und Ausschlusskriterien entsprechend ag- 
gregierte Informationen über das zu erwartende Patientenkollektiv be- 
kommen. 

= Der Forscher erhält einen Export und verfährt dann wie bei (1). 

= Der Betreiber bzw. Verantwortliche der Forschungsdatenbank erhält be- 
stimmte Anfragen eines Forschers (z.B. die Ein- und Ausschlusskrite- 
rien einer Studie) und liefert dem Forscher als Ergebnis eine Anzahl ge- 
eigneter Patienten zurück. 


Bei diesen Abfragen müssen geeignete Mechanismen verhindern, dass einzel- 
ne Patienten durch gezieltes Abfragen identifiziert werden können. Z.B. kann 
bei Abfragen, die eine bestimmte Anzahl von Patienten unterschreiten, nicht 
mehr die genaue Patientenanzahl ausgegeben werden, sondern nur noch der 
Hinweis, dass das Mindestmaß an Patienten unterschritten ist. Bei einer 
Datenbereitstellung als Export müssen geeignete Maßnahmen zur Anonymi- 
sierung der Rohdaten getroffen werden (vgl. Kap. 5.3.2.9). 


5.3.2.5 Rekrutierung unterstützen 


Patienten, die bereits an einem früheren Forschungsprojekt teilgenommen 
haben, können mit Hilfe des Forschungsmoduls auch effektiv für weitere Stu- 
dien rekrutiert werden. Dies kann insbesondere bei chronischen Erkrankun- 
gen von Interesse sein. Anders als bei der Überprüfung der Machbarkeit wird 
hierfür eine Depseudonymisierung der Datensätze ausgelöst werden müssen, 
die den gesuchten Ein- und Ausschlusskriterien entsprechen. Das Verfahren 
der Depseudonymisierung wird im Kapitel 6.1 zum Identitätsmanagement 
genauer beschrieben. Idealerweise sollten die hinterlegten Einwilligungs- 
erklärungen der ausgewählten Patienten eine direkte Ansprache aus dem For- 
schungsverbund heraus erlauben. Andernfalls könnte auch eine Ansprache 
über die aktuell behandelnde Einrichtung geregelt sein. 


5.3.2.6 Auskunft geben 


Wünscht ein Patient Auskunft über diein dem Forschungsmodul über ihn ge- 
speicherten Daten, wird die Auskunftserteilung in geeigneter Form geprüft 
und über das Identitätsmanagement an das Forschungsmodul weitergeleitet. 
Im Forschungsmodul werden die medizinischen Daten des Patienten ggf. aus 
mehreren Datenbanken selektiert und an das Identitätsmanagement zurück- 
geschickt. Bei diesem Vorgang muss durch geeignete Mechanismen verhindert 
werden, dass das im Forschungsmodul verwendete Pseudonym (PSN) des Pa- 
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tienten Unbefugten offenbart wird (s. hierzu Kap. 6.1 Identitätsmanagement 
und Kap. 6.4 Studienmodul und Forschungsmodul). 


5.3.2.7 Daten auswerten 


Die Daten des Forschungsmoduls können, je nach Aufbau der Infrastruktur 
und der organisatorischen Regelungen, sowohl im Sinne einer Erstauswertung 
(z.B. bei epidemiologischen Registern) als auch im Rahmen einer Sekundär- 
auswertung (z.B. für eine retrospektive Studie) genutzt werden. Die Zugriffe 
auf die Daten können online oder auch in Form eines Exports erfolgen. 


5.3.2.8 Daten an Forscher weitergeben (auf Basis einer Einwilligung) 


Bei Vorliegen einer entsprechenden Einwilligung kann einem Forscher nach 
Antrag und entsprechender Bewilligung ein direkter Zugriff auf einen be- 
stimmten Ausschnitt (z.B. eine Studie) des Forschungsmoduls gewährt wer- 
den. Alternativ werden die entsprechenden Daten als Export bereitgestellt. 
Die Einwilligung für die Weitergabe für ein bestimmtes Forschungsprojekt 
kann zum Zeitpunkt der Datenerhebung durch eine den Zweck des Forschungs- 
projekts mit umfassende Formulierung erfolgt sein, ggf. auch im Rahmen 
einer abgestuften Einwilligung (vgl. Kap. 4.2.2). Alternativ kann in bestimm- 
ten Fällen auch die spätere Einholung einer separaten Einwilligung für ein 
konkretes Forschungsprojekt möglich und nötig sein. 


Bei einem direkten Zugriff auf die Datenbank muss sichergestellt sein, dass 
die Summe der zu einem Patienten verfügbar gemachten medizinischen Daten 
(ggf. aus mehreren Datenbanken zusammengeführt) nicht zu einem relevan- 
ten Reidentifizierungsrisiko führt. Zudem sollte das als dauerhaftes Ord- 
nungskriterium in der Datenbank genutzte Pseudonym den zugreifenden For- 
schern verborgen bleiben. 


Wenn Daten des Forschungsmoduls in Form eines Exports für weitere Aus- 
wertungen benötigt werden, muss der hierfür zuständige Wissenschaftler 
einen entsprechenden Antrag auf einen Datenexport stellen. Hierfür ist zu 
spezifizieren, welche Daten benötigt werden und ob im Rahmen der Auswer- 
tung möglicherweise mit relevanten Ergebnissen für einzelne Patienten zu 
rechnen istund eine solche Rückmeldung im Vorfeld vereinbart wurde. Wenn 
keine relevante individuelle Rückmeldung der Ergebnisse an die Patienten 
zu erwarten ist, werden die Daten für den Export anonymisiert, andernfalls 
werden die Daten mit einem neuen Pseudonym versehen und exportiert. 
Wenn Daten aus mehreren Forschungsdatenbanken innerhalb des For- 
schungsmoduls für eine Auswertung zusammengeführt werden, muss si- 
chergestellt sein, dass dadurch keine Reidentifizierung des Patienten ermög- 
licht wird. Sowohl bei anonymisierten wie auch pseudonymisierten Exporten 
ist darauf zu achten, dass sich die Sortierreihenfolge der exportierten Daten- 
sätze nicht nach dem langfristigen Pseudonym PSN im Forschungsmodul 
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richtet, sondern z.B. nach den neu erzeugten anonymen oder pseudonymen 
IDs. 


5.3.2.9 Daten an Forscher weitergeben (unabhängig von einer Einwilligung) 


Externen Forschern, für deren Zugriff keine Einwilligung der Probanden vor- 
liegt, können Daten in Form eines Online-Zugriffes sowie als Export zur Ver- 
fügung gestellt werden. Das Vorgehen bei den Zugriffen auf die Forschungs- 
daten für externe Forscher ist angelehnt an die Regelungen der Forschungs- 
datenzentren der statistischen Ämter des Bundes und der Länder”. Daraus 
ergibt sich, dass für externe Forscher der Zugriff auf die Daten des Forschungs- 
moduls in der Regel faktisch anonymisiert erfolgen kann. 


Bei einem Online-Zugriff werden zwei Möglichkeiten vorgeschlagen, die bei- 
de ein möglichst geringes Reidentifizierungsrisiko für die Patienten mit sich 
bringen: 
= Den Forschern werden spezielle PC-Arbeitsplätze bereitgestellt an denen 
sie arbeiten können. Bei diesen Arbeitsplätzen gibt es eine spezielle Re- 
gulierung des Datenzugangs, die die Reidentifizierung des Patienten 
verhindert. Durch diese Mechanismen können den externen Forschern 
die Daten faktisch anonymisiert zur Verfügung gestellt werden. 
= Die Forscher bekommen Zugriff auf Dummy-Daten, die in Aufbau und 
Merkmalsausprägungen dem Originalmaterial gleichen. Mit Hilfe die- 
ser Dummy-Dateien können die Forscher, entsprechend ihrer Fragestel- 
lung, spezielle Abfragen erstellen. Diese Abfragen werden anschließend 
von den Verantwortlichen für die Forschungsdatenbank (z.B. Biometrie- 
Einheit) auf den Originaldaten angewendet. Die Forscher erhalten nach 
einer notwendigen Geheimhaltungsprüfung schließlich die Ergebnisse 
dieser Auswertung. Dieses Vorgehen ermöglicht die Arbeit mit absolut 
anonymisierten Daten. 


Neben dem Online-Zugriff können externen Forschern auch absolute bzw. 
faktisch anonymisierte Exporte zur Verfügung gestellt werden. Bei den fak- 
tisch anonymisierten Exporten handelt es sich um sogenannte Scientific-Use- 
Files, die wissenschaftlichen Institutionen zur Verfügung gestellt werden. 
Vertragliche Vereinbarungen zur Nutzung und Weitergabe der Daten können 
ein evtl. noch vorhandenes Reidentifizierungsrisiko begrenzen. Für die Bereit- 
stellung von Daten für die breite Öffentlichkeit können absolut anonymisier- 
te Exporte (Public-Use-Files) bereitgestellt werden, die nur ausgewählte oder 
vergröberte Merkmale enthalten. Um ein Reidentifizierungsrisiko für die ein- 
zelnen Patienten auszuschließen, sollte bei der Auswahl der Merkmale das 
Prinzip der k-Anonymität berücksichtigt werden, wobei die Größe von k ge- 
eignet zu wählen ist. Auch bei diesen Exporten ist auf eine Sortierung unab- 


22 http:/www.forschungsdatenzentrum.de/datenzugang.asp 
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hängig vom langfristig genutzten Pseudonym zu achten [34]. Weitere Hin- 
weise und Hilfestellungen für die Bereitstellung anonymer Daten, gerade auch 
in internationalen Projekten, finden sich in [35]. 


5.3.2.10 Ergebnisse mitteilen 


Im Falle, dass ein Patient über Forschungsergebnisse benachrichtigt werden 
soll, ist dieser Vorgang in jedem Einzelfall von Antrag und Bewilligung durch 
den Ausschuss Datenschutz des Forschungsverbundes abhängig. Das Verfah- 
ren ist so einzurichten, dass es erst nach aktueller Prüfung der Genehmigung 
durch den Verantwortlichen manuell gestartet werden kann. In diesen Fällen 
geht der Vorgang von der Forschungsdatenbank aus. Die Identifizierung und 
Benachrichtigung des Patienten über das Identitätsmanagement erfolgt ana- 
log zu dem Verfahren, wie es beim Erteilen der Auskunft vorgesehen ist 
(s.a. Kap. 6.1.2 zur Mitteilung von Ergebnissen). 


5.3.3 Daten und Datenflüsse 


Die Forschungsdatenbanken des Forschungsmoduls enthalten ausschließlich 
medizinische Daten, die mit einem Pseudonym (PSN) versehen sind, das 
außerhalb des Forschungsmoduls nicht offenbart werden darf. Neben den Ad- 
ministratoren können zusätzlich speziell autorisierte Services, die mit dem 
Identitätsmanagement kommunizieren, aufdie Forschungsdatenbanken des 
Forschungsmoduls zugreifen (s.a. Kap. 6.1.6.2). 


Aus den oben genannten Anwendungsfällen lassen sich folgende Datenflüsse 
in Bezug auf die Forschungsdatenbanken des Forschungsmoduls ableiten: 


5.3.3.1 Transfer medizinischer Daten in eine Forschungsdatenbank 


Bevor medizinische Daten eines Patienten ineine Forschungsdatenbank eines 
Forschungsverbundes transferiert und dort gespeichert werden können, ist 
sicherzustellen, dass diese mit einem Pseudonym (PSN) versehen werden, das 
an keiner Stelle zusammen mit identifizierenden Daten des Patienten gespei- 
chert werden darf. Somit wird eine eindeutige Zuordnung der Daten zum rich- 
tigen Patienten vor der Pseudonymisierung vorausgesetzt. Dies ist eine Auf- 
gabe des im Kapitel 6.1 beschriebenen Identitätsmanagements. 


Das Pseudonym wird von einer für das Identitätsmanagement legitimierten 
Institution des Forschungsverbundes erzeugt und zusammen mit den medi- 
zinischen Daten an eine Forschungsdatenbank weitergeleitet. Dort dient das 
PSN als Zuordnungskriterium für die Speicherung und die Zusammenführung 
der Daten und für alle fallbezogenen Auswertungen, die daraus abgeleitet 
werden. Die Kennungen der medizinischen Einrichtungen oder der individu- 
ellen Ärzte - so genannte organisatorische Daten (OrgDAT), wie sieim Kapitel 
zum Maximalmodell (s. Kap. 6.5) beschrieben sind - können in den For- 
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schungsdaten im Klartext oder ebenfalls pseudonymisiert gespeichert werden. 
Bei einer Speicherung solcher Daten im Klartext muss gewährleistet sein, dass 
hierdurch kein relevantes Reidentifizierungsrisiko für Patienten entsteht. Des 
Weiteren muss bei der Zusammenführung der medizinischen Daten eines Pa- 
tienten aus verschiedenen Quellen in einer Datenbank (z.B. unterschiedlichen 
Studien) sichergestellt werden, dass durch diese Zusammenführung das Re- 
identifizierungsrisiko nicht zu groß wird. 


Die medizinischen Daten können sowohl aus der direkten Versorgung (Klinisches 
Modul, Kap. 5.1), aus klinischen Studien (Studienmodul, Kap. 5.2) oder aus an- 
deren Datenbanken (z.B. Registern) des Forschungsverbundes stammen oder 
auch direkt für das Forschungsmodul erfasst worden sein, wie z.B. Daten von 
Kontrollpersonen bei epidemiologischen Kohortenstudien. Sollten schon Daten 
zu einem PSN vorhanden sein, können diese zusammengeführt werden. Die 
Übertragung von Daten aus einer Studiendatenbank in eine Forschungsdaten- 
bank wird im Kapitel 6.4 (Studien- und Forschungsmodul) detailliert beschrieben. 


5.3.3.2 Ändern medizinischer Daten in einer Forschungsdatenbank 


Es kann die Notwendigkeit bestehen, medizinische Daten, die sich schon in 
einer Forschungsdatenbank befinden, zu ändern. Dies kann z.B. im Rahmen 
einer Qualitätssicherung notwendig sein, wie sie im Kapitel 6.4 (Studien und 
Forschungsmodul) beschrieben wird. Es können aber auch bei der sekundären 
Auswertung Fehler entdeckt werden, die dann ebenfalls im Datenbestand des 
Forschungsmoduls geändert werden sollten. Für die Änderungen eines Daten- 
satzes wird dieser anhand seines PSN selektiert und geändert bzw. überschrie- 
ben. Aus Sicht des Datenschutzes kann es dem Betreiber der Forschungsdaten- 
bank überlassen werden, ob er die Änderung in Form einer Versionierung oder 
mit Hilfe eines Audit-Trails nachvollziehbar macht. Im Sinne einer hohen 
Datenqualität sind aber Funktionen, die eine Nachvollziehbarkeit aller Ände- 
rungen gewährleisten, auf jeden Fall zu empfehlen. 


5.3.3.3 Anonymisieren bzw. Löschen medizinischer Daten in der Forschungs- 
datenbank 


Ein Patient hat jederzeit das Recht, seine Einwilligungserklärung für die Spei- 
cherung medizinischer Daten im Rahmen eines Forschungsvorhabens zurück- 
zuziehen. Des Weiteren dürfen medizinische Daten je nach Forschungsvor- 
haben nur für eine bestimmte Dauer in pseudonymisierter Form gespeichert 
werden; dies ist im Regelwerk des Forschungsverbunds zu definieren und 
muss durch die jeweilige Einwilligungserklärung abgedeckt sein. Ein weiterer 
Grund für die Anonymisierung bzw. Löschung der Daten eines Patienten ist 
dessen Versterben. 


In diesen Fällen bedeutet dies für den Betreiber einer Forschungsdatenbank, 
dass er die medizinischen Daten eines Patienten anonymisieren oder löschen 
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können muss. Bei der Anonymisierung müssen die ggf. extern, z.B. in einer 
Patientenliste, gespeicherten identifizierenden Daten (IDAT) gelöscht und das 
Pseudonym als Ordnungskriterium in der Forschungsdatenbank durch eine 
anonyme Kennung ersetzt werden (s. Anwendungsfall Widerruf in Kap. 6.1.2). 
Bei der Erzeugung anonymer Kennungen ist zu beachten, dass diese nicht mit 
schon bestehenden anonymen oder pseudonymen Kennungen in der For- 
schungsdatenbank übereinstimmen dürfen. Das Löschen der Daten aus einer 
Forschungsdatenbank erfordert ebenso wie dasAnonymisieren auch ein Löschen 
der ggf. extern gespeicherten IDAT. Die Anonymisierung kann im Einzelfall und 
nach Abschätzung des Reidentifizierungsrisikos auch erfordern, dass einzelne 
charakteristische Merkmale des Falls gelöscht oder vergröbert werden. Genauere 
Details, wie dies im Zusammenhang mit einem Identitätsmanagement erfolgen 
kann, sind im Kapitel 6.4 (Studien- und Forschungsmodul) beschrieben. 


5.3.3.4 Austausch der Pseudonyme einer Forschungsdatenbank 


Der Austausch der Pseudonyme einer Forschungsdatenbank kann aus unter- 
schiedlichen Gründen notwendig werden: Z.B. bei Verlust oder Kompromittie- 
rung einer zur Pseudonymisierung genutzten SmartCard oder bei drohender 
Kompromittierung des verwendeten Verschlüsselungsalgorithmus. Liegt die 
Notwendigkeit eines Austausches der Pseudonyme vor, so muss dieser durch das 
Identitätsmanagement durchgeführt werden. Hierbei muss durch geeignete 
Verfahren sichergestellt werden, dass die neuen Pseudonyme dem richtigen Pa- 
tienten bzw. Datensatz zugewiesen werden (Kap. 6.1.2 Umpseudonymisierung). 


5.3.4 Nutzer, Rollen und Rechte 


Der Zugriff auf die Forschungsdatenbank kann durch den Administrator sowie 
durch einen autorisierten internen bzw. externen Forscher erfolgen. 


Der Administrator hat vollen Zugriff auf die Datenbank und kann entspre- 
chende Selektionen und Exporte veranlassen. 


Der interne Forscher kann seinem Antrag entsprechend bestimmte Teile der 
Forschungsdatenbank einsehen. Auch hier ist bei einem studienübergreifen- 
den Zugang wieder das Reidentifizierungsrisiko der einzelnen Patienten ab- 
zuschätzen. Während der Administrator die PSN in der Forschungsdatenbank 
sehen darf, bleiben diese dem Forscher verborgen. 


Der externe Forscher hat in der Regel nur anonymisierten Zugriff auf die 
Daten. Dieser kann sowohl online als auch in Form eines Exportes erfolgen. 


Hat ein behandelnder Arzt auch in der Rolle eines Forschers Zugriff auf Daten 
eines seiner Patienten, so sollte sichergestellt werden, dass er diesem keine 
weiteren medizinischen Daten zuordnen kann, die ihm im Rahmen der Be- 
handlung verborgen geblieben wären (z.B. genetische Informationen, 
s.a. Kap. 6.2.3.3). 
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5.3.5 Verantwortlichkeiten 


Da ein Forschungsmodul der Bereitstellung von Daten für die Forschung über 
einen langen Zeitraum dient, muss auch die Verantwortlichkeit für die Daten- 
verarbeitung langfristig geregelt und für die Patienten transparent dargestellt 
werden. Hierfür ist auch die Auswahl oder ggf. Etablierung einer rechtsfähi- 
gen Einrichtung bzw. eines Forschungsverbunds als juristischer Person not- 
wendig. Der Zugriff auf die Daten der Forschungsdatenbank muss über den 
von der verantwortlichen Stelle eingerichteten Ausschuss Datenschutz bewil- 
ligt werden. Forscher erhalten ein Zugriffsrecht auf die Daten, wenn dies vom 
Ausschuss Datenschutz nach Prüfung des Forschungsansatzes und des dafür 
benötigten Datensatzes bewilligt wird. 


Der Betrieb und die Administration des Forschungsmoduls sollten möglichst 
räumlich und organisatorisch getrennt von anderen Modulen, wie z.B. dem 
Identitätsmanagement, erfolgen. Für die Erstellung und Einhaltung der Re- 
geln bezüglich des Umganges mit den Forschungsdaten bzw. der Kontaktie- 
rung des Patienten ist das Management des Forschungsverbundes zuständig 
bzw. ein vom Management beauftragter Dienstleister. 


5.3.6 Aspekte der Realisierung 


Im Gegensatz zu den Studiendatenbanken, die sich in den letzten Jahren im- 
mer mehr als „Standardprodukte“ etabliert haben, gibt es relativ wenige IT- 
Lösungen für die Anforderungen einer Forschungsdatenbank. Mit dem Pseu- 
donymisierungsdienst der TMF sind zwar schon die Anforderungen für das 
Identitätsmanagement (Pseudonymisierung, Depseudonymisierung, Finding- 
management etc.) abgedeckt, jedoch fehlt es noch an nationalen IT-Lösungen 
für die Umsetzung der oben beschriebenen Anwendungsfälle. Der Pseudony- 
misierungsdienst der TMF könnte auch eingesetzt werden, um Exporte aus 
einer Forschungsdatenbank mit projektindividuellen, bei Bedarf reidentifi- 
zierbaren Pseudonymen zu versehen (vgl. Kap. 6.1.1.2). 


Als internationale Lösung wäre das Projekt 12B2 (Informatics for Integrating 
Biology and the Bedside) zu nennen [36]. 12B2 ist ein von der NIH gefördertes 
Projekt in den USA, welches u.a. ein Open Source Tool entwickelt, mit dem 
die Zusammenführung klinischer Datenbestände und die Abfrage medizini- 
scher Datenbestände ermöglicht werden. Somit können u.a. Machbarkeits- 
analysen für neue Studien realisiert werden. 


Auch wenn das I2B2-Tool eine gute Grundlage für eine Forschungsdatenbank 
darstellt, sind noch einige Anpassungen bezüglich des Datenschutzes sowie 
einige Verbesserungen bezüglich der Funktionalität zu realisieren. Ein Punkt 
ist der Ausbau des Rechte- und Rollenmanagements (alle Nutzer können mo- 
mentan den gesamten Datenbestand einsehen). Als weiterer Punkt ist der 
Im- und Export der Daten zu nennen. Hier bedarf es ebenfalls einiger Erwei- 
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terungen, da momentan noch keine Schnittstellen für gängige Daten- 
standards wie CDISC, HL7 etc. vorhanden sind. Im Rahmen eines TMF-Pro- 
jekts® wurde 2012 jedoch ein Toolkit auf Basis der I2B2-Plattform und mit Hilfe 
einer frei verfügbaren Version der Software Talend Open Studio% erstellt, wel- 
ches standardisierte Importe für eine Reihe von Formaten ermöglicht. 


Für die Bereitstellung anonymer Exporte aus Forschungsdatenbanken stellt 
die TMF kostenfrei eine Softwarekomponente zur Verfügung, die vorhandene 
Daten in verschiedenen Formaten nach umfangreicher Parametrierung unter 
möglichst geringem Informationsverlust zuverlässig k-anonymisiert.’ 


5.4 Biobankenmodul 


Für Biobanken (oder Biomaterialbanken) hat die TMF bereits die bisherigen 
generischen Datenschutzkonzepte aus dem Jahre 2003 erweitert und 2006 ein 
angepasstes und mit den Datenschützern auf nationaler Ebene abgestimmtes 
Datenschutzkonzept vorgestellt [2]. Dieses bleibt weiterhin gültig und ist nicht 
Gegenstand dieser Revision. Es ist dann einschlägig, wenn der Biobank-Be- 
trieb der eigentliche Gegenstand eines Datenschutzkonzepts ist; seine Ein- 
ordnung in die neue umfassende Struktur wird in Kapitel 6.1.7 beschrieben. 


In diesem Kapitel werden die dortigen Ausführungen soweit wiederholt, wie 
es nötig ist, um die Einpassung von Biobanken in das modulare Konzept für 
medizinische Forschungsverbünde beschreiben zu können. Die Abgrenzung 
eines Biobankenmoduls von weiteren im Forschungsverbund existierenden 
Modulen spiegelt einerseits die technisch und organisatorisch unterschied- 
liche Handhabung von Biomaterialien wider, andererseits die besondere Sen- 
sibilität von genetischen Daten, die aus der Analyse der Materialien entstehen 
und in der Regel von anderen Daten getrennt gespeichert werden sollten. 


5.4.1 Zweck und Anwendungsbereich 


Ein Biobankenmodul enthält eine oder mehrere Probenbanken zusammen mit 
organisatorischen oder administrativen Daten (OrgDAT) zu den Proben oder 
Biomaterialien, die in einer direkt bei der Probenbank angesiedelten Daten- 
bank verwaltet werden. Auch eine Datenbank für die aus den Proben gewon- 
nenen Analysedaten (AnaDAT, im BMB-Konzept etwas missverständlich als 
ProbDAT bezeichnet) gehört in der Regel in das Biobankenmodul. Zu einer 
Biobank gehören immer auch Komponenten zum Identitätsmanagement 
(s. Kap. 6.1), die mehr oder weniger zentral betrieben werden, und eine Daten- 


23 siehe www.tmf-ev.de/idrt 
24 siehe www.talend.com 
25 siehe www.tmf-ev.de/produkte/P100201 
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bank mit klinischen Annotationen, die im modularen Aufbau eines Verbunds 
im Forschungsmodul (s. Kap. 5.3) oder Klinischen Modul (s. Kap. 5.1) ange- 
siedelt, also vom Typ her eine Klinische Datenbank (KDB) oder Forschungs- 
datenbank (FDB) ist; sie wird im Kontext dieses Kapitels als Annotationsdaten- 
bank bezeichnet. 


Aufgabe der Probenbank ist die Aufbewahrung von Proben. In der Regel ist sie 
an einem Labor oder einem biomedizinischen Institut angesiedelt. Die Proben- 
bank erhält die Probe direkt von der Daten erhebenden Stelle bzw. von einem 
weiteren Labor, in dem gegebenenfalls die Probenaufarbeitung oder eine Ali- 
quotierung in Unterproben erfolgt. Die Probe wird in der Probenbank eingela- 
gert; entsprechende organisatorische Daten (OrgDAT, z.B. Probennummer, 
Probenaufenthalt, Probencharakterisierungen) werden dokumentiert. Ist die 
Probenbank an ein geeignet ausgestattetes Institut angeschlossen, so können 
in der Probenbank auch direkt Analysen der Probe vorgenommen werden. Je 
nach Organisationsform des Forschungsverbunds geschieht dies im Zuge der 
Behandlung des Patienten, für ein konkretes Forschungsprojekt oder allgemein 
für Forschungszwecke. Analysen können auch durch andere Einrichtungen 
durchgeführt werden, wozu die Probe entsprechend zugeliefert werden muss, 
in der Regel nur von einem minimalen Satz organisatorischer Daten begleitet. 


Zweck des Biobankenmoduls ist diemedizinische Forschung mit Proben, Ana- 
lyseergebnissen und Annotationsdaten. Dazu tritt in der Regel ein Forschungs- 
projekt mit einer bestimmten Anforderung (Spezifikation der Erkrankung, 
Randparameter wie Alter und Komorbiditäten, genetische Parameter, Anfor- 
derungen an die Probe bzw. deren Analyse) an den Forschungsverbund heran 
und erhält im Gegenzug Daten, eventuell auch Proben, die gemäß den Richt- 
linien des Forschungsverbundes bereitgestellt werden. 


Biomaterialien werden oft auch im Rahmen einer klinischen Studie gesam- 
melt. Solange sie an die Zweckbestimmung der Studie gebunden bleiben und 
überschüssige Reste spätestens bei Beendigung der Studie vernichtet werden, 
gelten hierfür die Regeln der Studie, die allgemein im AMG und den GCP- 
Richtlinien, im Speziellen in der Einwilligungserklärung festgeschrieben sind 
(vgl. Kap. 5.2, Studienmodul). Die Proben können im Rahmen der Studie di- 
rekt den Daten zugeordnet werden, so dass keine weiteren Anforderungen an 
das Identitätsmanagement (Kap. 6.1) entstehen. Sollen Proben über das Stu- 
dienende hinaus langfristig aufbewahrt werden, so sind sie spätestens dann 
inein eigenständiges Biobankenmodul zu überführen und unterliegen von da 
an den in diesem Kapitel beschriebenen Regeln. All dies kann natürlich nur 
auf der Grundlage einer ausreichenden Einwilligung geschehen. Gleiches gilt, 
wenn die Proben zwar für die Studie erhoben, aber direkt in einer Biobank 
aufbewahrt werden sollen; die Studie kann für ihre Zwecke wie jedes andere 
Forschungsprojekt Analysen und Auswertungen anfordern (s. o.). Auch die 
aus der Studie entstandenen Annotationsdaten sind spätestens bei Studien- 
ende in eine geeignete Annotationsdatenbank zu überführen. 
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5.4.2 Anwendungsfälle 


Da die relevanten Anwendungsfälle bereits in dem generischen Datenschutz- 
konzept für Biobanken aus dem Jahr 2006 [2] beschrieben wurden, wenn auch 
anders strukturiert als für die anderen hier beschriebenen Module, wird an 
dieser Stelle auf eine wiederholende Beschreibung verzichtet. Tabelle ı bietet 
eine Übersicht über die relevanten Anwendungsfälle, die der Strukturierungs- 
vorgabe für Anwendungsfälle aus diesem Leitfaden folgt. Zu jedem Anwen- 
dungsfall sind die Verweise zu den entsprechenden Kapiteln des bereits ver- 
öffentlichten Konzepts für Biobanken aufgeführt. Ergänzend sind Verweise 
zu relevanten analogen Anwendungsfällen oder übergreifenden Kapiteln aus 
diesem Konzept aufgeführt. 


Tab.1ı Anwendungsfälle im Biobankenmodul 


Relevante Kapitel im generischen Datenschutzkonzept Vergleichbare Kapitel 


Anwendungsfall für Biobanken in diesem Leitfaden 
Probenspender Kap. 4.2.2: Gewinnung und Anmeldung einer Probe Kap. 5.1.2.1 

in eine Biobank siehe auch: Kap. 5.2.2.1 
aufnehmen 


Kap. 4.4.5: Probenmanagement 


Daten auswerten Kap. 1.1.2: Kennzeichnungen und Datentypen 
Kap. 4.4.5: Probenmanagement 


Ergebnisse mitteilen Kap. 3.4: Wissen/Nichtwissen, Mitteilungspflichten Kap. 5.3.2.8 
Auskunft geben Kap. 4.4.6: Auskunft an den Probanden Kap. 5.3.2.6 
Daten an Forscher Kap. 4.2.3: Erzeugung und Verschlüsselung der LabID 
weitergeben Kap. 4.4.4: Bereitstellung von Daten 

siehe auch: 


Kap. 4.1.1: Aufgabe des Datenschutzkonzepts 
Kap. 4.4.5: Probenmanagement 


Kap. 3.3.3: Einwilligungserklärung - 
Weitergabe an Dritte 


Machbarkeit einer i Kap. 5.1.2.9 
Studie prüfen nicht behandelt iasa2i 
Rekrutierung Kap. 4.4.3: Pseudonymisierungsdienst Kap. 5.1.2.10 
unterstützen (für den Aspekt der Depseudonymisierung) Kap. 5.3.2.5 


Kap. 3.8: Zusatzerhebung 
(für den Aspekt der erneuten Kontaktierung) 


Proben und Daten Kap. 3.7: Widerruf und Löschung Kap. 5.2.2.1 

sperren, 

anonymisieren, u 

Benader Kap. 4.2.6: Anonymisierung 

vernichten Kap. 3.3.2: Nutzungsdauer, Sterbefall Kap. 5.1.2.8 
(für die Aspekte der Aufklärung und Einwilligung) Kap. 5.2.2.11 


Kap. 4.2.7: Widerruf einer Einwilligung 
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5.4.3 Daten und Datenflüsse 


Personendaten oder identifizierende Stammdaten (IDAT), Pseudonyme (PID 
und PSN) sowie medizinische Daten (als Annotationsdaten) kommen im Bio- 
bankenmodul in der gleichen Bedeutung wie in den anderen Modulen vor 
(s. Kap. 4.2 zum allgemeinen Datenmanagement in [2]). Daneben gibt es 
auch noch die folgenden Biobank-spezifischen Daten: 


Probennummer (LabID): LabID bezeichnet die ursprüngliche Nummer der Probe, 
die entweder von der Proben gewinnenden Stelle oder von der Probenbank ver- 
geben wird, in der Regel auch als Barcode-Aufkleber (Details in Kap. 4.2zum 
allgemeinen Datenmanagement in |[2]). Die LabID wird entweder durch die 
Proben gewinnende Stelle oder durch das verarbeitende bzw. analysierende 
Labor an die Annotationsdatenbank (vom Typ KDB oder FDB) gemeldet. Dort 
wird evtl. statt der LabID eine kryptographisch transformierte LabID, gespei- 
chert, um eine direkte Zuordnung von Datensatz und Probe zu vermeiden 
(s. Kap. 4.2.3 zur Erzeugung und Verschlüsselung der LabID in [2]). Diese Trans- 
formation ist logisch eine Funktion des Identitätsmanagements; wo sie tat- 
sachlich durchgeführt wird, hängt von den konkreten Gegebenheiten des For- 
schungsverbunds ab (s. Kap. 4.2.3 in [2] und Kap. 6.1.3.1in diesem Leitfaden). 
Dabei spielen auch Überlegungen zur Verhältnismäßigkeit eine Rolle 
(s. Kap. 4.6 in [2] und Kap. 6.7 in diesem Leitfaden). 


Organisatorische Daten (OrgDAT): OrgDAT sind Begleitdaten einer Probe, die an unter- 
schiedlichen Stellen entstehen und verwendet werden. So erfasst z.B. die Pro- 
ben gewinnende Stelle die Probenart und gegebenenfalls die Informationen zu 
Probenentnahme und Präanalytik. Inder Probenbank werden die Begleitdaten 
einer Probe mit weiteren Informationen wiez.B. den Umständen von Konser- 
vierung, Lagerung und Qualität gespeichert. OrgDAT zu einer Probe werden 
an verschiedenen Stellen benötigt und dann zur Unterscheidung durch unter- 
schiedliche Indizes gekennzeichnet. Eine ausführliche Darstellung findet sich 
in den Kapiteln 1.1.2 (Kennzeichnungen und Datentypen) und 4.2.4 (Grund- 
sätzliche Verteilung der Daten) in [2] sowie in Kapitel 6.5.2.4 in diesem Leit- 
faden. 


Probenanalysedaten (AnaDAT oder ProbDAT): Die mit AnaDAT bezeichneten Ergebnis- 
se der Probenanalyse werden in einer Analysendatenbank gespeichert, dieim 
Biobankenmodul angesiedelt ist. Sie werden nach Bedarf für Anfragen ver- 
wendet oder an anfragende Forscher übermittelt (s. Kap. ı1.1.2in |2]). Die ihnen 
zu Grunde liegenden Analysen können sowohl von den der Probenbank ange- 
schlossenen Laboren als auch von kooperierenden Einrichtungen durchge- 
führt werden. AnaDAT können potenziell rückbeziehbare Größen darstellen 
wie z.B. im Fall von Genotypen. Ihre Speicherung sollte daher separat von den 
Annotationsdaten und eventuellen anderen Datenbeständen des Forschungs- 
verbundes im Biobankenmodul selbst erfolgen. 
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Insgesamt sind im Grundmodell eines Biobankenmoduls zumindest die fol- 
genden Datenarten unter getrennter Verantwortung zu speichern: 

= IDAT, 

= MDAT, 

= Probe (+ zugehörige OrgDAT) und AnaDAT. 


Für die Zuordnung dieser getrennten Teildatenbestände werden die Kennungen 


PID, 
PSN, 

LabID, 
LabID, 


als Pseudonyme verwendet, die jeweils nur unter genau definierten Bedin- 
gungen miteinander verknüpfbar sind, siehe auch Kapitel 6.1 (Identitäts- 
management) und Abbildung 7. 


PSN Annotations- 
LabID, datenbank 
Behandlungs- [ Identitäts- 
zusammenhang IDAT management 
Proben- Analysen- 
zen bank datenbank 


Abb.7 In den Annotationsdaten einer Biobank sind die Verweise auf den Patienten und auf die 
zugehörigen Proben pseudonymisiert. 


Für die Datenflüsse sei auf das Kapitel 4.2 zum allgemeinen Datenmanage- 
ment von [2] verwiesen. 


5.4.4 Nutzer, Rollen und Rechte 


Das Biobankenmodul betrachtet überwiegend die Rollen des Proben gewin- 
nenden Arztes (dies können auch mehrere Ärzte für jeden einzelnen Spender 
sein) und des Wissenschaftlers, dazu verschiedene Systemadministratoren. 


Probengewinnender Arzt: Übermittelt die Probe, ggf. über ein zwischenge- 
schaltetes Labor, an die Probenbank und die Annotationsdaten an die Anno- 
tationsdatenbank. Weitere Zugriffe auf die Daten des Falls sind für den Proben 
gewinnenden Arztim Rahmen des Biobankenmoduls nicht notwendig; ist das 
Biobankenmodul aber Teil eines Forschungsverbunds, der die Annotations- 
daten in einer Klinischen, Studien- oder Forschungsdatenbank speichert, sind 
die dort (Kap. 5.1 bzw. 5.2 bzw. 5.3) vorgesehenen Zugriffsrechte zu gewähren. 
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Laborarzt: Analysiert eine Probe im Behandlungszusammenhang und über- 
mittelt die Ergebnisse sowohl an die Analysendatenbank als auch an den Pro- 
ben gewinnenden Arzt im Rahmen der Labordiagnostik des Behandlungsfalls 
oder der klinischen Studie. 


Analysierender Wissenschaftler: Analysiert eine Probe außerhalb des Behand- 
lungszusammenhangs für die Nutzung in der Biobank und übermittelt die 
Ergebnisse an die Analysendatenbank. Für den Patienten relevante Ergebnisse 
werden gemäß der Regularien der Biobank bzw. des Forschungsverbunds an 
den Proben gewinnenden Arzt übermittelt. 


Auswertender Wissenschaftler: Tritt an die Biobank mit einem Projektvor- 
schlag heran und erhält Daten, evtl. auch Proben, wie in Kapitel 5.4.1 be- 
schrieben. 


Systemverwalter: Wird für die Probensammlung, die OrgDAT-Datenbank, die 
Analysendatenbank, die Annotationsdatenbank wie in Kapitel 5.1.4.5 (Klini- 
sches Modul - Administrator für eine Klinische Datenbank) bzw. Kapitel 5.3.4 
(Forschungsdatenbank - Nutzer, Rollen und Rechte) und die Komponenten 
des Identitätsmanagements (wie in Kap. 6.1.4.1 und 6.1.4.2) benötigt. Er hat 
bei den jeweils anderen Datenbanken keinerlei Rechte. 


Auditor: Überprüft den ordnungsgemäßen Ablauf aller Prozesse im Biobanken- 
modul. Ein Zugriff auf IDAT ist dazu nicht notwendig. 


Doppelrolle Arzt/Forscher: siehe Kapitel 4.1.1 (Aufgabe des Datenschutz- 
konzepts - Doppelrolle Arzt/Forscher) von [2] und die analogen Ausführungen 
in Kapitel 5.3.4 (Forschungsdatenbank - Nutzer, Rollen und Rechte) und 
Kapitel 6.2.3.3 (Rechtemanagement - Mögliche Rollenkonflikte). 


5.4.5 Verantwortlichkeiten 


Die Verantwortlichkeiten im Biobankenmodul sind in den Kapiteln 4.3-4.5 
(Realisierung - Organisation der Biomaterialbank, Dienste, Verträge und Re- 
gelungsbedarf) von [2] abgehandelt. Allgemeine Aussagen, die für alle For- 
schungsverbünde gelten, sind in Kapitel 6.6 (Organisatorische Regelungen) 
zusammengefasst. 


5.4.6 Besondere Aspekte der Realisierung 


Für verschiedene Organisationsmodelle eines Biobankenmoduls siehe die Ka- 
pitel 2.1 (Trägerschaft der Biomaterialbank) und 4.3 (Realisierung - Organisa- 
tion der Biomaterialbank) von [2]; für Überlegungen zur Verhältnismäßigkeit 
siehe das dortige Kapitel 4.6 (Überlegungen zur Verhältnismäßigkeit) sowie 
Kapitel 6.7 (Kriterien der Verhältnismäßigkeit) unten. 
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Das Betreiben eines Biobankenmoduls erfordert besondere Erweiterungen der 
Aufklärung und Einwilligung; diese sind im Kapitel 3 von [2] zur Einwilli- 
gungserklärung beschrieben. 


Im Zusammenhang mit klinischen Studien sind drei Szenarien zu unterschei- 
den, siehe Kapitel 5.4.1 oben: 


1. Probenverwendung direkt und nur im Studienkontext: Hier sollte, so- 
weit vorhanden, ein in die Studiensoftware integriertes Probenmanage- 
ment genutzt werden. 

2. Probenverwaltung in einer auch unabhängig von der Studie existieren- 
den Biobank: Hier ist die Studie als Forschungsprojekt zu betrachten, 
das die Dienste der Biobank nutzt. 

3. Übergabe von überschüssigen Proben an eine Biobank nach Beendigung 
der Studie: Hier ist die Studie in der Rolle eines Probenzulieferers zu se- 
hen. 


In den Fällen 2 und 3 sind die Prozesse des Identitätsmanagements nach den 
Regeln der Biobank einzuhalten. 


Die Handhabung von LabID und LabID, ist im BMB-Konzept |2] auf spezielle 
Weise beschrieben; ist das Biobankenmodul in einen größeren Forschungs- 
verbund eingegliedert, kann die Verwaltung dieser beiden Pseudonyme alter- 
nativ auch an geeigneten Stellen des zentralen ID-Managements angesiedelt 
sein. 


Der Markt für Biobank-Software ist noch nicht konsolidiert; Biobank-Verwal- 
tungsfunktionen sind z.T. auch in Labor-Software oder Studiensoftware inte- 
griert. Die TMF unterstützt mit ihren Arbeitsgruppen den Erfahrungsaus- 
tausch hierzu. Insbesondere in den Arbeitsgruppen IT-Infrastruktur und Qua- 
litätsmanagement sowie Biomaterialbanken werden konkrete Fragen der Rea- 
lisierung und nötiger Hardware- und Softwareausstattung umfangreich 
diskutiert. Den Kontakt zu den Arbeitsgruppen vermittelt die TMF-Geschäfts- 
stelle. 
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Ein medizinischer Forschungsverbund umfasst in der Regel mehrere oder alle 
der in Kapitel 5 beschriebenen Module. Durch deren Zusammenwirken erge- 
ben sich komplexe Datenflüsse und Kommunikationsbeziehungen, die erheb- 
liche organisatorische und technische Maßnahmen erfordern, auch zur Wah- 
rung eines angemessenen Datenschutzniveaus. Auf der technischen Seite sind 
zentrale Komponenten und Verfahren vorzusehen, die für 


= das Identitätsmanagement von Patienten und Probanden (Kap. 6.1), 
welches auch ein Kontaktmanagement einschließt, 

= das Rechte- und Rollenmanagement für Netzteilnehmer (Kap. 6.2) und 

= die Qualitätssicherung von Daten (Kap. 6.8) 


zuständig sind und mit sorgfältig geplanten Sicherheitsmaßnahmen und 
-richtlinien, oft sogar bei organisatorisch unabhängigen Stellen (Trusted Third 
Parties, Datentreuhänder) betrieben werden. 


Das Zusammenspiel verschiedener Module wird exemplarisch für den kombi- 
nierten Einsatz von 


= Klinischem Modul und Studienmodul (Kap. 6.3) sowie 
= Studien- und Forschungsmodul (Kap. 6.4) 


erläutert; der kombinierte Einsatz von Forschungs- und Biobankenmodul war 
schon Gegenstand des Datenschutzkonzepts für Biomaterialbanken. Das Zu- 
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sammenspiel aller Module wird im Kapitel 6.5 als Maximalmodell beschrie- 
ben. Hinzu kommen Überlegungen und Vorschläge zu 


= organisatorischen Regelungen (Kap. 6.6) und 
= der Verhältnismäßigkeit von Maßnahmen (Kap. 6.7). 


6.1 1ID-Management 


Das Identitätsmanagement für Patienten (und andere Studienteilnehmer) in 
einem medizinischen Forschungsverbund dient dazu, 


= Daten, die zum selben Individuum gehören, korrekt zuzuordnen 
= und dabei die Identität dieses Individuums vor Unberechtigten zu ver- 
bergen. 


Diese beiden Ziele stehen in einem gewissen Spannungsverhältnis, da die 
korrekte Zuordnung eine Erkennbarkeit voraussetzt. Um diesen Zielkonflikt 
bestmöglich aufzulösen, werden sie generisch im Modul Identitätsmanage- 
ment zusammengefasst und auf zwei funktionale Komponenten aufgeteilt, 
deren Zusammenspiel sorgfältig austariert werden muss. Diese beiden Kom- 
ponenten werden hier als 


= Patientenliste und 
= Pseudonymisierungsdienst 


bezeichnet. Sie werden in Kapitel 6.1.1 in ihren Funktionen und in Kapi- 
tel 6.1.5 in ihrer organisatorischen Ausgestaltung beschrieben. Wie weit die- 
se konzeptionelle Aufteilung des Identitätsmanagements in zwei Komponen- 
ten bei einer Implementierung abgebildet werden muss oder kann, ist Gegen- 
stand späterer Erläuterungen. 


Die persönliche Identifikation eines Patienten soll nur den unmittelbar an 
seiner Behandlung Beteiligten möglich sein, nicht aber anderen, z.B. wissen- 
schaftlich tätigen Mitarbeitern des Forschungsnetzes. Außerhalb des direkten 
Behandlungskontexts ist daher - da die Ziele eines medizinischen Forschungs- 
verbundes in der Regel mit anonymisierten Daten nicht erreicht werden kön- 
nen - ein pseudonymes Identitätsmanagement aufzubauen. Sinngemäß gilt 
das gleiche für Studienteilnehmer (Probanden), die nicht Patienten sind (z.B. 
Kontrollpersonen, Teilnehmer an epidemiologischen Studien). 


6.1.1 Zweck und Verwendungsbereich 


Patienten oder Studienteilnehmer werden in verschiedenen Bereichen des 
Forschungsverbundes durch unterschiedliche pseudonyme Kennzeichen re- 
präsentiert”: 


26 Die unterschiedlich aufgebauten Bezeichnungen und Akronyme für die verschiedenen Pseudonyme resultieren 
aus dem historischen „Wildwuchs“ und den in anderen Kontexten bereits etablierten Nomenklaturen. 
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PID,.: im Klinischen Modul 

PID,: im Studienmodul 

SIC: im Studienmodul für einzelne Studien 

PSN: im Forschungsmodul 

LabID: zur Kennzeichnung von Proben im Laborbereich (Probenbank) 
LabID,.: zur Kennzeichnung von Proben im Forschungsmodul 


Siehe hierzu auch Abbildung 8. Eventuell kommen dazu weitere Pseudonyme 
wie PID, in einer Bilddatenbank, sofern eine solche unter getrennter Datenho- 
heit geführt wird, temporäre Pseudonyme für die Verarbeitung im Grid oderin 
der Cloud (vgl. Kap. 6.1.3.7) oder PSN, für Datenexporte an Forschungsprojekte. 


Studien- 
modul 


Klinisches 
Modul 


Prüfarzt 
PIDs 


Behandler 
IDAT 


IDAT 


MDATs 


MDAT« 


Studien-DB 
MDAT; 


Klinische DB 
PID 


Identitäts- 
management 


PIDs 


MDATk 


PID, | IDAT | PID; 
LablD | Labib, 


Biobank- 
modul 


Forschungs- 
modul 


Analysen-DB 


Forschungs-DB 


LabID AnaDAT 


PSN 


MDAT; 
LabID:- 


Abb.8 Die zentrale Stellung des Identitätsmanagements; die Akronyme sind in Tabelle 2 
zusammengestellt. 


Grundsätzliche Aufgabe des Identitätsmanagements ist, dieZuordnung dieser 
Pseudonyme zueinander und zu den Identitätsdaten in den Anwendungsfäl- 
len, die dieses erfordern, herzustellen. Für solche Zuordnungs- oder Depseu- 
donymisierungsprozesse sind nach den Regeln des Forschungsverbundes Ent- 
scheidungsprozesse und Kontrollen notwendig; das Identitätsmanagement 
soll organisatorisch und technisch so gestaltet werden, dass diese Regeln 
unterstützt bzw. erzwungen werden. 


6.1.1.1 Patientenliste (mit PID-Dienst und IDAT-Datenbank) 
Zweck der Patientenliste ist die Anmeldung und Registrierung eines Patienten 


oder Studienteilnehmers im Forschungsverbund sowie die Zuordnung eines 
eindeutigen nichtsprechenden Identifikators zu den Identitätsdaten IDAT. 
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Tab.2 Akronyme 


Abkürzung Bedeutung Verwendung 


IDAT Identitätsdaten Direkter Behandlungszusammenhang 

: x ee im Pseudonymisierungsdienst, im generischen 
PID (nichtsprechender) Patientenidentifikator Fall PID = PID,, aber auch PID = PID, möglich 
PID, (nichtsprechender) Patientenidentifikator Klinisches Modul 
PID, (nichtsprechender) Patientenidentifikator Studienmodul 


(nichtsprechender) Subject Identification einzelne Studie oder Studien-DB 


Code 
PSN Pseudonym Forschungsmodul 
LabID Probenkennzeichnung Biobank 
LabID, Verschlüsselte Probenkennzeichnung Forschungsmodul 
MDAT, Medizinische Daten Klinisches Modul 
MDAT, Medizinische Daten Studienmodul 
MDAT, Medizinische Daten Forschungsmodul 
AnaDAT a Proben, insbesondere Biobank 
OrgDAT organisatorische Daten siehe Kapitel 6.5.2.4 


Dieser Identifikator wird hier zunächst als PID bezeichnet und kann als Pseu- 
donym oder als Teil der IDAT behandelt werden. Es kann sich dabei um einen 
PID, (aus dem Klinischen Modul) oder PID, (aus dem Studienmodul) handeln, 
je nachdem, welche dieser beiden Kennungen in diesem Forschungsverbund 
benötigt wird oder aus welchem Bereich die Anmeldung erfolgt. Jenach Melde- 
weg wird diese Kennung 


= ander Datenquelle erzeugt und an die Patientenliste übergeben 
= oder erst dort erzeugt bzw. aus dem schon vorhandenen Bestand ent- 
nommen; 


die andere der beiden (sowie weitere benötigte) Kennungen wird darausin der 
Software der Patientenliste durch eine kryptographische Transformation ab- 
geleitet. Werden im Verbund mehrere klinische Studien mit verschiedenen 
SICs durchgeführt, wird die Zuordnung zwischen diesen und dem PID, eben- 
falls in der Patientenliste zusammen mit dem Hinweis auf den Kontext der 
jeweiligen Kennung (OrgDAT,,) aufbewahrt. Dieser Kontext enthält Angaben 
zur meldenden Stelle und das Meldedatum, um einen für den Patienten ver- 
antwortlichen Arzt als Ansprechpartner identifizieren (s.a. Kap. 6.5.2.4) und 
im Bedarfsfall einen Kontakt herstellen zu können. 


Die eindeutige Identifikation des Patienten durch die Patientenliste wird als 
ein Mittel der Qualitätssicherung verstanden. Zugrunde liegt ein Szenario, in 
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dem ein Patient mit einer chronischen oder langwierigen Erkrankung über 
einen längeren Zeitraum von unterschiedlichen Einrichtungen behandelt oder 
beobachtet wird. Ein Patient kann also von verschiedenen Stellen zu unter- 
schiedlichen Zeitpunkten zur Teilnahme am Forschungsverbund angemeldet 
oder seine dort bereits vorhandenen Daten ergänzt werden. Durch die Arbeits- 
weise der Patientenliste soll sichergestellt werden, dass ein einmal angemel- 
deter Patient bei einer späteren Meldung wieder erkannt wird. Die Identifika- 
tion eines Patienten geschieht über die Stammdaten (IDAT), welche den Pa- 
tienten im Klartext identifizieren und in der Patientenliste gespeichert wer- 
den. Über die IDAT ist im Bestand dieser Liste zu prüfen, ob der Patient bereits 
erfasst und ein PID vergeben ist. Im negativen Fall ist ein neuer PID zu erzeu- 
gen und mit den IDAT in den Bestand der Patientenliste zu übernehmen. Eine 
mögliche technische Komponente zur Umsetzung einer solchen Patientenliste 
ist der PID-Generator der TMF. 


Ein wichtiges Problem der Identifikation besteht darin, sicherzustellen, dass 
bei der Vergabe des PID Synonymfehler (ein Patient hat mehrere PIDs) und Ho- 
monymfehler (zwei oder mehr Patienten haben einen identischen PID) mit 
möglichst hoher Sicherheit vermieden werden, und zwar auch dann, wenn 
die IDAT durch Änderung (z.B. des Namens) oder durch unterschiedliche 
Schreibweise oder Eingabefehler voneinander abweichen. Dazu dienen folgen- 
de Maßnahmen: 


Die Erhebung der IDAT wird möglichst einheitlich gestaltet. Als Basis der IDAT 
wird der Datensatz der Versichertenkarte (VK oder eGK) empfohlen, da hier- 
mit das größtmögliche Maß an Normierung erreicht wird und durch elektro- 
nische Übernahme der Daten fehlerhafte Eingaben vermieden werden kön- 
nen. Nach dem Rechtsgutachten [11] sind nicht direkt versorgungsbezogene 
Daten, wie z.B. Angaben zur Versicherung und insbesondere der lebenslang 
konstante Teil der Versichertennummer, hierfür allerdings nicht nutzbar 
(s. Kap. 4.3.2). 


Zusätzlich soll der Geburtsname oder ein anderer früherer Name erfasst 
werden, wenn ein Patient während seiner Verweilzeit im Forschungsnetz den 
Namen gewechselt hat. 


Für den Bestandsabgleich wird ein fehlertoleranter Algorithmus mit einstell- 
barer Empfindlichkeit verwendet. 


Unklare Zuordnungen können durch manuellen Eingriff eines Administrators 
und ein Rückfragemanagement aufgelöst werden. 


Mit der Anmeldung eines Patienten oder Studienteilnehmers bei der Patien- 
tenliste werden ein Kennzeichen der meldenden Stelle und das Datum der 
Meldung übertragen und in der Liste gespeichert. Dies gilt auch dann, wenn 
einem Patienten bereits ein PID zugewiesen wurde und dieser einer neu mel- 
denden Klinik übermittelt wird. Kennzeichen und Datum werden nicht als 
Historie geführt, sondern durch die jeweils aktuelle Meldung überschrieben. 
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Die Daten (OrgDAT,, mit Kontextinformation) werden benötigt, damit die 
Stelle, welche die Patientenliste führt, erkennen kann, über welche Klinik 
oder welchen verantwortlichen Arzt in einem entsprechenden Anwendungs- 
fall ein Patient kontaktiert werden kann. Sie können auch als Entscheidungs- 
hilfe bei der Prüfung von Zugriffsberechtigungen herangezogen werden 
(s.a. Kap. 6.5.2.4). 


Die Funktion der Patientenliste ist weitgehend automatisiert. Beider Anmel- 
dung eines Patienten können Fälle auftreten, in denen die Zuordnung der 
Meldung zum Bestand der Liste zwar möglich, aber wenig gesichert ist. Ein 
solcher Fall führt zu einer Fehlermeldung. Abhängig davon, wie wichtig es 
für die Forschungsziele ist, Synonyme und Homonyme zu vermeiden, kann 
für solche Fälle ein Verfahren zum manuellen Abgleich von Daten vereinbart 
werden; bei der Führung der Patientenliste ist dann der Eingriff durch einen 
Operator bzw. eine Dokumentationsfachkraft erforderlich. 


Hinweis: Das Identitätsmanagement bei einzelnen Projekten, insbesondere 
klinischen Studien nach AMG, ist evtl. unabhängig zu betreiben, da eine 
Systemvalidierung bei zentral genutzten Diensten wesentlich erschwert ist; 
dies wird relevant, sobald das Identitätsmanagement mit Fehlerkorrektur- 
und Record-Linkage-Mechanismen versehen ist. Daher ist es hier in der Regel 
zu empfehlen, dass der Prüfarzt einen SIC vergibt oder einmalig aus einer ex- 
ternen Quelle übernimmt, der nur ihm - und darüber hinaus bei Notwendig- 
keit der Patientenliste im Verbund - bekannt ist. Ein solcher Mechanismus 
zur SIC-Erzeugung ist in der Regel in der Studiensoftware implementiert. 


6.1.1.2 Pseudonymisierungsdienst 


Zweck des Pseudonymisierungsdienstes ist der besondere Schutz der Datenin 
dem auf Langzeitspeicherung angelegten Forschungsmodul. Mittel dazu ist 
die Transformation des PID aus der Patientenliste in ein Pseudonym PSN, das 
in der Forschungsdatenbank als Kennung genutzt wird; hierfür wird ein kryp- 
tographisches Verfahren angewendet. Der Datenfluss in die Forschungsdaten- 
bank wird über den Pseudonymisierungsdienst geleitet, wobei der PID durch 
das PSN ersetzt wird. Da der Pseudonymisierungsdienst die medizinischen 
Daten (MDAT) weder benötigt noch überhaupt sehen soll, werden diese in 
asymmetrisch verschlüsselter Form durchgereicht oder ganz an ihm vorbei 
geleitet, siehe Abbildung 9. Die zweite Option hat den Vorteil geringerer An- 
forderungen an die Bandbreite des Datendurchsatzes im Pseudonymisierungs- 
dienst und den Nachteil erhöhter Komplexität der Kommunikation. 


Die Pseudonymisierung ist eine reine Maschinenfunktion, die keines Eingriffs 
durch das Personal bedarf. Um eine unberechtigte Nutzung dieses Dienstes, 
der mit der Weiterleitung der Daten an die Forschungsdatenbank verbunden 
ist, auszuschließen, werden die Daten nur von zugelassenen Absendern über- 
nommen (s. Kap. 6.1.4.2). 


110 


6.1 ID-Management 


a) Nutzdaten (MDAT) werden verschlüsselt durchgereicht 


PSN 


Sender Dienstleister Empfänger 


b) Nutzdaten (MDAT) werden vermittelt 


PID PSN 
SL Ra i 
L 


Zugriffsticket Zugriffsticket A 


Zugriffsticket + Nutzdaten 
Abb.9 Verschlüsselte Durchleitung oder Vorbeileitung von Daten; Aufgabe des Dienstleisters 
ist nur, pseudonyme Kennungen (z.B. PID und PSN oder LabID und LabID,) ineinander 
umzuwandeln. 


Hinweis: Die Pseudonymisierung wird hier für die Patientendaten beschrieben. 
Sie kannin gleicher Weise eingesetzt werden, um die Kennung medizinischer 
Einrichtungen oder individueller Ärzte (ADAT) in den Forschungsdaten un- 
kenntlich zu machen. Selbstverständlich ist dies auch in einem nachfolgenden 
Schritt beim Export von Daten aus der Forschungsdatenbank möglich. Die 
Lösung muss in der Vertragsgestaltung zwischen den Ärzten und dem For- 
schungsverbund und bei der Regelung des Zugangs zu Forschungsdaten defi- 
niert werden. Ein entsprechender Depseudonymisierungsvorgang muss ein- 
gerichtet werden. 


6.1.2 Anwendungsfälle 


a) Anmeldung eines Patienten oder Studienteilnehmers beim Forschungsver- 
bund: Die direkte Anmeldung erfolgt bei der Patientenliste. Das Identitäts- 
management sorgt dafür, dass die nötigen pseudonymen Kennzeichen für die 
verschiedenen Bereiche des Forschungsverbundes erzeugt werden, siehe auch 
Abbildung 10. 


b, c) Übermittlung von Daten an die Forschungsdatenbank aus dem Versor- 
gungskontext (Fall b) oder aus dem Studienkontext (Fall c): Die für die For- 
schungsdatenbank asymmetrisch verschlüsselten Daten (MDAT) werden über 
das Identitätsmanagement geleitet, das die verwendete Kennzeichnung in 
das im Forschungskontext verwendete PSN umwandelt. Als Alternative kön- 
nen die MDAT auch mit Hilfe eines vom Pseudonymisierungsdienst vergebe- 
nen Zugriffstickets direkt an die Datenbank übergeben werden, siehe Abbil- 
dung9. 
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Abb. 10 Anmeldung eines Patienten oder Studienteilnehmers in der Patientenliste. Der 


pseudonyme Patientenidentifikator PID wird nur im Studienmodul (als PID,), nicht aber 
im Klinischen Modul (als PID,) zurückgemeldet. 


d, e) Mitteilung von Ergebnissen (Findings) aus einem Forschungsprojekt (Fall 
d) an einen Patienten oder Studienteilnehmer: Hier wird über das Identitäts- 
management das Pseudonym in eine Kennung (in der Regel IDAT) umgewan- 
delt, die dem für den Betroffenen verantwortlichen Arzt bekannt ist, und die- 
sem das jeweilige Finding mitgeteilt; auch hier ist die asymmetrisch ver- 
schlüsselte Übertragung zu nutzen, siehe Abbildung 22 in Kapitel 6.8.3.2. Auf 
gleiche Weise kann auch auf Anfragen eines Patienten (Falle) reagiert werden, 
sofern diese Art des Auskunftsrechts mit ihm vereinbart wurde. Hier wendet 
sich der Patient an seinen zuständigen Arzt oder einen sonstigen Auskunfts- 
verpflichteten; dieser übermittelt die IDAT des Patienten über das Identitäts- 
management an die jeweilige Datenbank, die die Rückmeldung wie beschrie- 
ben veranlasst. 


f) Die Depseudonymisierung zur Datenqualitätssicherung wird im Kapitel 6.8 
über Qualitätssicherung behandelt. 


g) Für die Rekrutierung von Studienteilnehmern für eine neue Studie - sofern 
dies aufgrund der Einwilligungserklärung erlaubt ist - wird der gleiche Weg 
zum verantwortlichen Arzt wie bei der Rückmeldung von Findings beschrit- 
ten. Von diesem wird die Einwilligung des Betroffenen zur Teilnahme an die- 
ser Studie eingeholt sowie dieser ggf. als Teilnehmer dieser Studie angemeldet. 


h, i) Bei einem Widerruf der Teilnahme am Forschungsverbund werden, ab- 
hängig von der Vereinbarung in der Einwilligungserklärung, über das Identi- 
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tätsmanagement die entsprechenden Daten in den Datenbanken gefunden 
und gelöscht (Fall h) oder der Fall wird im Forschungsverbund anonymisiert 
(Falli); das bedeutet hier einfach, dass in der Patientenliste - falls vorhanden, 
auch in dezentralen Patientenlisten - die IDAT gelöscht werden und somit der 
Bezug zum Individuum nicht mehr hergestellt werden kann. Im Einzelfall 
kann es hierbei auch nötig sein, charakteristische Merkmale der MDAT zu ver- 
gröbern oder zu löschen. Die Pseudonyme können, wenn mit Sicherheit nie- 
mand mehr darüber einen Personenbezug herstellen kann, alsanonyme Kenn- 
zeichen in den jeweiligen Datenbanken verbleiben; ansonsten sind sie durch 
eindeutige anonyme Kennzeichen zu ersetzen. 


j) Im Todesfall eines Patienten oder Probanden sind in der Regel, sobald eine 
Nachmeldung oder Nacherfassung von Daten nicht mehr zu erwarten ist, alle 
seine Daten im Forschungsverbund zu anonymisieren; die Regularien des For- 
schungsverbundes und die Einwilligungserklärung sind zu beachten. Da im 
Maximalmodell die Dauerspeicherung nur im Forschungsmodul vorgesehen 
ist, sind noch im Klinischen Modul oder Studienmodul befindliche Daten 
dorthin zu überführen und überall sonst zu löschen. Proben und Daten im 
Biobankenmodul können - sofern das vorgesehen und rechtlich abgesichert 
ist - ebenfalls erhalten bleiben, und ebenso muss die Assoziation zwischen 
Daten im Forschungsmodul und Biobankenmodul über PSN und LabID bzw. 
LabID, erhalten bleiben. In der Patientenliste sind die IDAT und alle nicht 
mehr benötigten pseudonymen Kennungen zu löschen. 


k) Eine Umpseudonymisierung (Ersetzen vorhandener Pseudonyme durch 
neue) kann nötig werden, wenn einzelne Pseudonyme als kompromittiert er- 
kannt werden oder wenn das Pseudonymisierungsverfahren insgesamt als 
unzureichend oder nicht mehr dem Stand der Technik (s. Kap. 2.6 des Krypto- 
graphischen Gutachtens im Anhang”) entsprechend eingeschätzt wird (vgl. 
zugehörigen Anwendungsfall in Kap. 6.4.2.10). Beim Verfahren ist zu unter- 
scheiden, ob die Pseudonyme durch eine Zuordnungsliste oder eine krypto- 
graphische Transformation erzeugt wurden. Im Fall einer Zuordnungsliste, 
die willkürliche Pseudonyme ohne Verwendung eines deterministischen Al- 
gorithmus vergibt, ist nur der Fall der Kompromittierung einiger oder aller 
Pseudonyme relevant. Diese müssen dann durch neu vergebene Pseudonyme 
ersetzt werden, die auch an die jeweiligen Datenbanken des Forschungsver- 
bundes weitergegeben werden. Die Möglichkeit, dass durch die Kompromit- 
tierung bereits Daten an Unbefugte gelangt sind, erfordert Reaktionen auf der 
organisatorischen Ebene des Forschungsverbundes, die aber das Identitäts- 
management nicht weiter involvieren. 


Falls die Pseudonyme durch eine kryptographische Transformation vergeben 
wurden, ist der bisherige Algorithmus durch einen neuen ausreichender Stär- 


27 Anhänge zu diesem Dokument sind unter www.tmf-ev.de/datenschutz-leitfaden verfügbar. 
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ke zu ersetzen; alle bisher vergebenen Pseudonyme müssen durch die nach 
dem neuen Algorithmus erzeugten ersetzt werden, vgl. Kapitel 2.6 des Krypto- 
graphischen Gutachtens im Anhang. 


l) Der Export medizinischer Daten für die Weitergabe an Forscher ist ein 
Anwendungsfall, der alle Datenbanken eines Forschungsverbunds betreffen 
kann. Dabei sind nach Möglichkeit anonymisierte Daten herauszugeben, so 
dass die Erzeugung anonymer Datensatz-IDs als Funktion des ID-Manage- 
ments genutzt werden kann. Wenn die Nutzung der Daten mögliche Implika- 
tionen für die betroffenen Probanden hat und die Auswertung pseudonymer 
Daten durch die Wissenschaftler z.B. durch eine Einwilligung rechtlich ab- 
gesichert ist, müssen die vorhandenen pseudonymen Kennzeichen der jewei- 
ligen Datenbank durch für diesen Export spezifische neue pseudonyme Kenn- 
zeichen ersetzt werden. Um die Auswertungsergebnisse ggf. später wieder 
einem Probanden zuordnen zu können, muss der für diesen Export eingesetz- 
te Schlüssel für die Umpseudonymisierung gespeichert werden. Auch diese 
exportspezifische Pseudonymisieurng kann als Funktion des ID-Managements 
realisiert werden. 


m) Das Aktualisieren der Kontaktdaten von Patienten oder Probanden kann 
logisch einem zentralen ID-Management zugeordnet werden (vgl. Kap. 3.2.3.2). 
Wichtig ist dies, wenn der Forschungsverbund langfristig und ggf. auch stu- 
dienübergreifend den Kontakt zu den Patienten oder Probanden halten möchte, 
z.B. um diese für neue Projekte zu rekrutieren oder über neue Ergebnisse zu 
informieren. Die mit dieser Aufgabe betrauten Mitarbeiter sollten keinen Zu- 
griff auf medizinische Daten haben und auch die für die Pflege der Kontaktdaten 
nicht nötigen Pseudonyme nicht einsehen können. Wichtig ist das Vorliegen 
notwendiger Informationen aus den Einwilligungserklärungen, da diese im 
Regelfall die Rechtsgrundlage für ein direktes Ansprechen der Patienten oder 
Probanden aus dem Forschungskontext heraus darstellen. Ggf. kann für diesen 
Aufgabenbereich auch eine spezialisierte CRM-Software zum Einsatz kommen. 


6.1.3 Daten und Datenflüsse 
6.1.3.1 Daten der Patientenliste 


Die Patientenliste speichert und verwaltet IDAT, PID,, PID, und zugehörige 
SICs sowie andere gegebenenfalls in anderen Modulen des Forschungsver- 
bunds benötigte Kennungen wie LabID oder das Pseudonym einer Bilddaten- 
bank (PID,), außerdem die Kontextdaten OrgDAT,, (einschließlich ADAT). Sie 
sieht, kennt und speichert nicht MDAT und PSN. Die Verwaltung der pseudo- 
nymisierten LabID,, ist logischer Teil des Identitätsmanagements. Sie kann, 
wie in Abbildung 8 dargestellt, bei der Patientenliste angesiedelt sein. Als 
Option besteht auch die im generischen Datenschutzkonzept für Biomaterial- 
banken [2] vorgesehene Möglichkeit, die Zuordnung zwischen LabID und 
LabID, der Probenbank als Aufgabe zu übergeben. 
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Die Patientenliste erhält die Daten IDAT und OrgDAT,, (s. Kap. 6.1.3.3 unten), 
je nach Szenario empfängt sie auch dezentral erzeugte Identifikatoren, z.B. 
SICs. Sie gibt den PID, an die Klinische Datenbank zurück, den PID, an die Stu- 
diendatenbank und an die Datenquelle (hier: Prüfarzt), jenach Szenario auch 
den PID, an die Datenquelle (hier: behandelnder Arzt). Je nach Szenario gibt 
die Patientenliste auch Einmal-Kennungen (als Zugriffstickets) an einen be- 
handelnden Arzt und die Klinische Datenbank, die temporär zur richtigen 
Zuordnung von Kommunikationsprozessen benötigt werden. 


Es wird empfohlen, in der Patientenliste als PID primär den PID, zu erzeugen, 
und zwar in menschenlesbarer Form (8 Buchstaben und Ziffern). Der PID, - 
ebenso wie weitere benötigte Kennzeichen - wird daraus durch kryptographi- 
sche Verschlüsselung gewonnen und ist eine nur maschinenlesbare Bitkette; 
dies ist angemessen, da der PID, nur in der Kommunikation von Patienten- 
liste mit Klinischer Datenbank genutzt wird und sonst nirgends sichtbar sein 
soll. 


6.1.3.2 Daten des Pseudonymisierungsdienstes 


Der Pseudonymisierungsdienst speichert keine Daten außer dem geheimen 
kryptographischen Schlüssel, der die Zuordnung zwischen PID, und PSN ver- 
mittelt. Er erhält einen PID (im generischen Fall den PID,) und gibt das zuge- 
hörige PSN weiter. Bei einer Depseudonymisierung ist dies genau umgekehrt 
(s. Kap. 6.1.3.5 unten). 


Der Schlüssel für die Transformation PID > PSN ist unauslesbar auf einer 
Smartcard oder in einer vergleichbar sicheren Umgebung wie z.B. einem Hard- 
ware Security Module (HSM) zu speichern, damit er sicher als Geheimnis be- 
wahrt werden kann. Die kryptographischen Funktionen müssen ebenfalls in 
der sicheren Umgebung, z.B. auf der Smartcard, ausgeführt werden, damit 
der Schlüssel diese nicht verlassen muss. 


6.1.3.3 Datenflüsse der Patientenliste 


Die Anmeldung eines Patienten oder Studienteilnehmers beim Forschungs- 
verbund erfolgt bei der Patientenliste. Mit dem dort erzeugten oder schon vor- 
handenen PID können dann medizinische Daten (MDAT) an die entsprechen- 
de Datenbank zusammen mit dem entsprechenden pseudonymen Kennzei- 
chen übermittelt werden. Wird der PID nicht an die Datenquelle zurückgemel- 
det, wie es in einigen Szenarien sinnvoll ist, wird für die Datenübermittlung 
statt dessen ein von der Patientenliste erzeugtes Zugriffsticket (zum einmali- 
gen Gebrauch) verwendet. 


Auch bei der Depseudonymisierung wirkt die Patientenliste mit (s. Kap. 6.1.3.5 
unten). 
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6.1.3.4 Datenflüsse des Pseudonymisierungsdienstes 


Der Pseudonymisierungsdienst erhält einen PID, von der Patientenliste und 
gibt das zugehörige PSN an die Forschungsdatenbank weiter (s. Abb. 11). Dazu 
werden die MDAT (aus dem Klinischen Modul oder Studienmodul) an die For- 
schungsdatenbank (FDB)nach einer von zwei Methoden übertragen (s. Abb. 9): 


= asymmetrisch verschlüsselt über den Pseudonymisierungsdienst wei- 
tergeleitet oder 

= mit Hilfe eines temporären Zugriffstickets, das die richtige Zuordnung 
garantiert, direkt von der Datenquelle. 


Beiden Optionen ist gemeinsam, dass der Pseudonymisierungsdienst keine 
Möglichkeit hat, die MDAT zu lesen. 


p 


Sender Pseudonymi- Forschungs-DB 
sierungsdienst 
A PID, PSN, 
MDAT (verschlüsselt) MDAT (verschlüsselt) 
L85FD23S | xxyyzz A90686X | xxyyzz 
3 sis Symmetrische i aa 
Verschlüsselung 
PID MDAT PID > PSN PSN MDAT 


MDAT werden 
verschlüsselt 
durchgereicht 


T 


Abb. 11 Workflow des Pseudonymisierungsdienstes; alternativ ist auch eine getrennte 
Ubermittlung der MDAT mit Hilfe eines Zugriffstickets möglich (s. Abb. 9). 


In der Forschungsdatenbank werden die MDAT entschlüsselt und mit dem 
Pseudonym PSN abgespeichert. Der Vorgang ist aus der Sicht des Pseudony- 
misierungsdienstes unabhängig davon, ob die Daten neu geliefert werden oder 
ob eine Änderungsmeldung bereits in die Datenbank übernommene Daten 
korrigiert oder ergänzt. Nur der Betreiber der Datenbank muss und kann die 
beiden Formen unterscheiden. 


Der Rückbezug von Daten aus der Forschungsdatenbank oder daraus abgelei- 
teten Auswertungen auf den betroffenen Patienten kann daher ausschließlich 
über den Weg der Depseudonymisierung, d.h. der kryptographischen Rück- 
transformation des PSN in den PID gewonnen werden (s. Kap. 6.1.3.5 unten). 


Hinweis: Ein weiterer Pseudonymisierungsschritt wird für den Export der Daten 
empfohlen, wenn verhindert werden soll, dass außerhalb der zentralen Daten- 
bank Akkumulationen von Daten erfolgen. Dabei wird das PSN jeweils durch 
eine weitere kryptographische Transformation oder eine willkürliche Zuord- 
nungsliste in ein projektspezifisches PSN, umgewandelt, das als Ordnungs- 
kriterium für Datenbestände gilt, die an das Forschungsprojekt Nr. i exportiert 
werden. Diese Transformation kann durch einen zentralen Pseudonymisie- 
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rungsdienst unterstützt werden, der sich auch die projektspezifische Zuord- 
nungsliste oder den verwendeten Schlüssel für mögliche Rückmeldungen 
merkt. Alternativ kann dies auch im Rahmen der Exportfunktion einer For- 
schungsdatenbank realisiert werden. 


6.1.3.5 Depseudonymisierung 


Die Depseudonymisierung kann nur von einer berechtigten Einrichtung bzw. 
von berechtigten Personen nach dem Regelwerk des Forschungsverbundes 
veranlasst und nur vom Identitätsmanagement durchgeführt werden. 


Technisch ist die Depseudonymisierung im generischen Fall zweistufig an- 
gelegt: Die erste Stufe wird auf dem inversen Weg der Pseudonymisierung 
durch die Transformation eines Pseudonyms PSN in einen Patientenidentifi- 
kator PID geleistet. Dazu erhält der Pseudonymisierungsdienst ein PSN, leitet 
daraus den zugehörigen PID ab und gibt diesen (zusammen mit organisatori- 
schen Daten des Vorgangs) an die Patientenliste weiter; dieser Schritt kannin 
definierten Anwendungsfällen auch automatisiert ablaufen. In der zweiten 
Stufe wird der PID in der Patientenliste aufgrund einer Datenbank-Abfrage 
durch die Identifikationsdaten IDAT ersetzt. Diese werden zusammen mit den 
organisatorischen Daten des Vorgangs an den in den OrgDAT,, (bzw. ADAT) 
genannten Verantwortlichen weitergeleitet (s. Abb. 12). 


Identitäts- 
management 


Behandlungskontext Forschungs-DB 


IDAT MDAT;« 


PSN 


MDAT; 


Finding (asymmetrisch verschlüsselt) 


Abb. 12 Workflow der Depseudonymisierung im Anwendungsfall Rückmeldung (PID = PID, oder 
PID, je nach Kontext) 


6.1.3.6 Umpseudonymisierung 


Die Umpseudonymisierung im Falle einer Zuordnungsliste betrifft die Patien- 
tenliste mit dem primär erzeugten PID (im Regelfall PID,) und erfordert folgen- 
den Ablauf: Jeder zu ändernde PID wird vom Administrator der Patientenliste 
durch einen entsprechenden neuen ersetzt. Alle daraus erzeugten weiteren 
Kennungen in Patientenlisteund Pseudonymisierungsdienstsindentsprechend 
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zu ändern und - zusammen mit der alten, zu ändernden Kennung - an die je- 
weiligen nutzenden Datenbanken zu übermitteln. 


Im Falle einer kryptographischen Transformation ist zu unterscheiden, ob nur 
für einen Einzelfall eine Umpseudonymisierung nötig ist, oder ob wegen Kom- 
promittierung des kryptographischen Verfahrens sämtliche Pseudonyme aus- 
getauscht werden müssen. Im ersten Fall wird ein neu erzeugter PID zusam- 
men mit dem alten angeliefert und in ein neues PSN umgewandelt, das zu- 
sammen mit dem alten an alle relevanten Stellen im Forschungsmodul über- 
mittelt und mit einer Änderungsaufforderung versehen wird. 


6.1.3.7 Temporäre Pseudonyme in verteilten Infrastrukturen 


Um umfangreiche medizinische Datensätze, wie sie z.B. die Bildgebung oder 
genetische Sequenzierungsmethoden produzieren, in vertretbarer Zeit und 
mit ökonomisch vertretbaren Mitteln verarbeiten und auswerten zu können, 
werden zunehmend verteilte Infrastrukturen, entweder als Grid oder Cloud, 
eingesetzt. Wenn diese Infrastrukturen nur für die Analyse der Daten und 
nicht für eine dauerhafte Speicherung eingesetzt werden, was insbesondere 
bei rechenintensiven Verarbeitungsschritten der Regelfall ist, kann der 
Schutzbedarf der Daten durch die Verwendung temporärer Pseudonyme noch 
weiter abgesenkt werden. 


Hierfür werden zentral vom ID-Management netzweit eindeutige Pseudonyme 
bereit gestellt, die für einen Transfer eines Datensatzes in das Grid oder in die 
Cloud, die dortige Verarbeitung und die Rückübermittlung des Ergebnisses 
gültig sind. Diese werden ohne Übermittlung identifizierender Daten abge- 
rufen und direkt nach Erhalt der Ergebnisse im ID-Management wieder frei- 
gegeben. Lediglich die Daten liefernde Stelle speichert während der Verarbei- 
tung der Daten den Zusammenhang von temporärem Pseudonym und der 
Identität des zugehörigen Probanden oder Patienten. Im ID-Management wird 
das herausgegebene Pseudonym bis zur Freigabe durch die abrufende Stelle 
gesperrt und damit in dieser Zeit nicht erneut herausgegeben. 


Bei komplexen Datenstrukturen, wie siez.B. auch im DICOM-Header von Bil- 
dern und Bildserien vorkommen, müssen ggf. multiple Identifikatoren, wie 
beispielsweise global eindeutige IDs für jedes Bild, das bildgebende Gerät usw. 
ersetzt werden. In solchen Fällen müssen entweder mehrere temporäre Pseu- 
donyme verwendet werden oder von einem temporären Pseudonym werden 
weitere abgeleitet, z.B. durch Suffixe oder Präfixe. Dabei ist aber auch zu be- 
rücksichtigen, dass für standardisierte Datenformate wie DICOM bestimmte 
Vorgaben bezüglich der verwendeten IDs eingehalten werden müssen. 


Eine weitere Absenkung des Schutzbedarfs kann durch den zusätzlichen Ein- 
satz eines Pseudonymisierungsdienstes erreicht werden, der die temporären 
Pseudonyme beim Transfer der Daten in das Grid oder in die Cloud durch sym- 
metrisch verschlüsselte temporäre Pseudonyme zweiter Ordnung ersetzt 
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(s. Kap. 6.1.3.4). Beider Rückübermittlung der Ergebnisse wird die Umschlüs- 
selung im Pseudonymisierungsdienst wieder rückgängig gemacht, so dass an 
der Datenquelle die Ergebnisse wieder dem richtigen Patienten oder Probanden 
zugeordnet werden können. Bei komplexen Datenstrukturen mit multiplen, 
durch temporäre Pseudonyme ersetzten Identifikatoren müssen alle diese Ken- 
nungen beim Verschlüsseln berücksichtigt werden. Da in solchen Anwen- 
dungsfällen im Regelfall von größeren Datenmengen auszugehen ist, wird als 
Implementierungsvariante des Pseudonymisierungsdienstes diejenige emp- 
fohlen, bei der die Nutzdaten nicht asymmetrisch verschlüsselt durchgereicht, 
sondern vollständig an dem Pseudonymisierungsdienst vorbei geleitet und 
über Tickets korrekt zugeordnet werden (vgl. Kap. 6.1.1.2 und Abb. 9). 


Zusätzlich zu den hier beschriebenen speziellen Verfahren im ID-Management 
sind in solchen Einsatzszenarien auch ergänzende organisatorische Regelun- 
gen zu treffen, die u.a. auch ein ausreichendes Schutzniveau im Grid oderin 
der Cloud garantieren. Weitere Hinweise dazu finden sich in Kapitel 6.6 und 
in den Ergebnisdokumenten der Projekte PneumoGrid und cloudyhealth®. Die 
TMF war bzw. ist in beiden Projekten an der Ausarbeitung datenschutzkon- 
former Umsetzungskonzepte beteiligt. 


6.1.3.8 Todesfall 


Abhängig davon, wo der Todesfall bekannt wird - in der Regel zuerst im Kli- 
nischen Modul, unter Umständen aber auch im Forschungsmodul, wenn dort 
Nacherhebungen oder Abgleiche mit Melderegistern oder epidemiologischen 
Registern vorgesehen sind, wird eine Meldung an das Identitätsmanagement 
gemacht, das die in Kapitel 6.1.2 j) vorgesehenen Löschungen veranlasst und 
entsprechende Rückmeldungen empfängt. 


6.1.4 Nutzer, Rollen und Rechte 
6.1.4.1 Patientenliste 


Für die Patientenliste gibt es im Allgemeinen Nutzer aus meldenden Einrich- 
tungen, die entweder über ein Web-Formular oder aus einem EDC-System 
heraus einen Patienten oder Studienteilnehmer melden können; zwischen 
Neumeldung und Nachmeldung mit geänderten IDAT wird dabei nicht unter- 
schieden. Wird die Patientenliste nur im Batchbetrieb genutzt, gibt es diese 
externen Nutzer nicht; sie werden durch Sender bzw. Empfänger entsprechen- 
der Dateien ersetzt. 


Die Patientenliste hat einen Systemadministrator. Dieser hat neben der rein 
technischen Server-Administration die Aufgaben 


28 s. www.pneumogrid.de und www.cloud4health.de 
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= manuelle Korrektur von Datensätzen bei (z.B. telefonisch) gemeldeten 
Fehleingaben, 

= manuelle Korrektur von Datensätzen bei Zweifelsfällen, in denen die 
Zuordnung nicht automatisch entschieden werden kann, 

= gegebenenfalls Bedienung des Batchbetriebs 


zu erfüllen und muss demnach die entsprechenden Rechte zugeteilt bekom- 
men. 


Der Eingriff eines Administrators ist auch dann erforderlich, wenn im 
Rahmen der Depseudonymisierung einem PID die IDAT zugeordnet werden 
sollen: Hier ist zuerst die Genehmigung zu prüfen; bei positivem Ergebnis 
muss der Zuordnungsvorgang manuell gestartet werden. 


Der Administrator kann bei seinen Aufgaben von einer Dokumentations- 
fachkraft unterstützt werden; diese benötigt lediglich die Rechte zur manu- 
ellen Korrektur von Datensätzen. 


6.1.4.2 Pseudonymisierungsdienst 


Zur Nutzung des Pseudonymisierungsdienstes siehe Kapitel 6.1.1.2. Er wird 
bei beabsichtigter Übertragung von Daten an die Forschungsdatenbank durch 
die entsprechenden Kommunikationskomponenten einer Klinischen oder Stu- 
diendatenbank angestoßen, siehe Kapitel 6.1.6.2. Diese müssen die entspre- 
chenden Rechte besitzen, siehe Kapitel 6.2. Direkte Nutzer gibt es für den 
Pseudonymisierungsdienst nicht; er kann nur als Netzdienst über die defi- 
nierten Schnittstellen angesprochen werden. 


Der Pseudonymisierungsdienst hat einen Systemadministrator mit den üb- 
lichen Aufgaben und Rechten. Dieser ist auch für das Anstoßen von Depseu- 
donymisierungsvorgängen nach persönlicher Prüfung der Berechtigung des 
Vorgangs zuständig, sofern im Regelwerk des Forschungsverbunds für den 
konkreten Fall nicht ein automatisierter Prozess vorgesehen ist, ebenso für 
das Anstoßen von Umpseudonymisierungsvorgängen. Dem Systemadminis- 
trator obliegt auch die sachgemäße technische Handhabung der Smartcard 
bzw. des Hardware Security Modules, das den Pseudonymisierungsschlüssel 
enthält. 


6.1.5 Verantwortlichkeiten 


Die Gesamtverantwortung für das Identitätsmanagement liegt bei der Leitung 
des Forschungsverbundes und dem Ausschuss Datenschutz einschließlich dem 
Datenschutzbeauftragten. Dieser Personenkreis gibt insbesondere Richtlinien 
und Policies vor. Im Folgenden wird die organisatorische und technische Ver- 
antwortung für die Komponenten des Identitätsmanagements im Rahmen 
dieser Richtlinien beschrieben. 
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Im generischen Fall wird empfohlen, sowohl die Patientenliste als auch den 
Pseudonymisierungsdienst zentral für einen Forschungsverbund einzurich- 
ten, da so ein hoher Sicherheitsstandard erreicht werden kann und die erfor- 
derliche Infrastruktur und das zugehörige Personal nur einmal für den gesam- 
ten Forschungsverbund eingerichtet werden muss. Beide Dienste sollten bei 
unabhängigen vertrauenswürdigen Stellen (Trusted Third Parties, TIP) an- 
gesiedelt sein. Wenn diese Dienste separat an unabhängigen Stellen betrieben 
werden, ist eine zusätzliche wirksame Trennung zwischen den patientenna- 
hen Bereichen der Versorgung und der klinischen Forschung und dem patien- 
tenfernen Bereich der Forschungsdatenbank gegeben. Varianten dieser gene- 
rischen Empfehlung werden in den folgenden Kapiteln diskutiert. 


6.1.5.1 Patientenliste zentral oder dezentral? 


Die Patientenliste kann an drei Stellen angesiedelt sein: 


= zentral bei einer eigenen TTP, 
= zentralzusammen mit dem Pseudonymisierungsdienst, 
= dezentral an den Datenquellen. 


Mit der zentralen Einrichtung der Patientenliste wird angestrebt, dass die 
Kranken- und Behandlungsgeschichten von Patienten mit einer chronischen 
oder rezidivierenden Erkrankung möglichst langfristig verfolgt werden kön- 
nen. Der Wechsel von Behandlungseinrichtungen und die räumliche Mobilität 
der Patienten führen dazu, dass Patienten im Lauf der Zeit von verschiedenen 
Einrichtungen an den Forschungsverbund gemeldet werden. Dann soll auch 
bei modifizierter Eingabe der IDAT (z.B. durch Schreibfehler bei manueller Er- 
fassung oder Namensänderung) sichergestellt werden, dass der Patient oder 
Studienteilnehmer im Bestand identifiziert und ihm der bereits vorhandene 
PID zugewiesen wird. 


Es ist zwar möglich, auch dezentrale Patientenlisten so anzulegen, dass mit 
einem für alle identischen Algorithmus aus identischen Eingabedaten ein 
identischer PID erzeugt wird, jedoch ist nicht zu vermeiden, dass modifizier- 
te Eingabedaten zu einem neuen PID führen, so dass Synonyme entstehen. 
Die dezentrale Führung der Patientenliste hat außerdem den Effekt, dass auch 
die Depseudonymisierung nur dezentral, über die Stellen, die den Patienten 
persönlich kennen, möglich ist. Eine dezentrale Anordnung ist deshalb nur 
sinnvoll, wenn die Datenerfassung einmalig ist, wenn mit einem Wechsel des 
Patienten nicht gerechnet werden muss oder wenn eine Doppelerfassung un- 
erheblich ist. Andererseits fördert die dezentrale Führung von Patientenlisten 
an den Datenquellen - d.h., bei der Erfassung der Identitätsdaten wird von 
einer behandelnden Einrichtung auch gleich ein nichtsprechender PID ver- 
geben - in den genannten Fällen die Datensparsamkeit und ist somit vom 
Datenschutzgesichtspunkt aus unkritisch, zumal dieser Bereich von der ärzt- 
lichen Schweigepflicht abgedeckt und damit als vertrauenswürdig anzusehen 
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ist. In diesem Fall entfällt die Speicherung der ADAT in der Patientenliste, 
stattdessen kann die Speicherung der ADAT als Teil der MDAT angebracht sein; 
je nach Reidentifizierungsrisiko und Verhältnismäßigkeit ist auch von der 
elektronischen Speicherung der ADAT ganz abzusehen und nur eine Papier- 
liste an geeigneter Stelle aufzubewahren. 


6.1.5.2 Mehrere Patientenlisten an einem Standort? 


Das Hosting mehrerer Patientenlisten von verschiedenen Netzen an einem 
Standort ist grundsätzlich möglich. Dabei müssen alle Prozesse und Verantwort- 
lichkeiten geklärt und dokumentiert sein - z.B. durch entsprechende SOPs. Zur 
Umsetzung der notwendigen Mandantenfähigkeit finden sich hilfreiche Hin- 
weise in der entsprechenden Orientierungshilfe der Konferenz der Datenschutz- 
beauftragten des Bundes und der Länder [37]. Nicht geeignet ist allerdings das 
Hosting sämtlicher oder sehr vieler Patientenlisten bei einem einzigen Dienst- 
leister, weil hier ein zu großes zentrales Angriffspotenzial entstünde. 


Ebenfalls nicht geeignet ist das Konzept einer netzübergreifenden Liste für 
mehrere verschiedene Forschungsverbünde. Diese könnte zwar die Zugehörig- 
keit eines bestimmten Patienten zu einem bestimmten Forschungsverbund - 
und damit seine Diagnose - verschleiern. Da aber die Netzzugehörigkeit eines 
Patienten auch in einer netzübergreifenden Liste in irgendeiner Form ver- 
merkt werden müsste, da sonst nicht überprüft werden kann, ob eine Anfra- 
ge nach den IDAT eines Patienten aus einem konkreten Netz heraus berechtigt 
ist oder nicht, wäre der Vorteil der Verschleierung auch in einer übergreifen- 
den Liste nicht umsetzbar. Hierfür ist auch unerheblich, ob eine solche An- 
frage schon im Ausschuss Datenschutz eines Netzes geprüft worden ist. 


6.1.5.3 Sicherheit der Patientenliste 


Die Patientenliste ist der sensibelste Teil des Identitäts-Managements und hat 
damit, wenn sie zentral geführt wird, eine besonders schützenswerte Rolle. 
Datenschutzrechtlich ist zu berücksichtigen, dass die IDAT, obwohl sie in der 
Patientenliste nicht mit medizinischen Daten (MDAT) kombiniert werden, den 
betroffenen Personenkreis als Patienten eines Forschungsnetzes mit einem 
umschriebenen Krankheitsspektrum ausweisen. Die Patientenliste ist daher 
unbedingt räumlich und technisch getrennt von den Datenbanken des For- 
schungsverbundes anzuordnen und auch einer getrennten disziplinarischen 
Verantwortung zu unterwerfen. Es muss ein praktikables und tragfähiges Si- 
cherheitskonzept vorliegen, das sicherstellt, dass die Unabhängigkeit gewährt 
ist. Es empfiehlt sich, einer Partnereinrichtung des Forschungsnetzes diese 
zentrale Aufgabe zu übertragen, während die Datenbanken (KDB, SDB, FDB) 
bei anderen Partnern angesiedelt werden. Abweichend davon und bei beson- 
ders hohen Sicherheitsanforderungen besteht auch die Option, einen externen 
Datentreuhänder als TIP mit der Betreuung der Patientenliste zu beauftragen. 
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Hinweis: Der von der TMF bereitgestellte PID-Generator als Software-Imple- 
mentierung der Patientenliste ermöglicht auch, die IDAT in einweg-verschlüs- 
selter Form statt im Klartext abzulegen. Dies bewirkt einen zusätzlichen 
Schutz gegen das Reidentifizierungsrisiko, beeinträchtigt aber die manuelle 
Zuordnung in Zweifelsfällen und verhindert Anwendungen, bei denen eine 
Kontaktierung des Patienten erforderlich ist. Daher wird die Nutzung dieser 
Produkteigenschaft im Allgemeinen nicht empfohlen. 


6.1.5.4 Lokalisierung des Pseudonymisierungsdienstes 


Bei großen Forschungsverbünden - sobald für mehr als ein zeitlich beschränk- 
tes Forschungsprojekt pseudonymisiert werden muss - soll der Pseudonymi- 
sierungsdienst als zentraler Dienst selbstständig geführt werden. Zur Nutzung 
durch kleinere Verbünde wird empfohlen, den Pseudonymisierungsdienst als 
Dienstleistung von dritter neutraler Seite anzubieten, z.B. vonder TMF selbst. 
Damit lässt sich verteilte Verantwortung kostengünstiger organisieren, als 
wenn jeder Forschungsverbund den Dienst selbst in einem eigenen Organisa- 
tionsmodul realisiert. 


6.1.6 Aspekte der Realisierung 
6.1.6.1 Patientenliste 


Die Patientenliste umfasst eine Funktion zur Erzeugung und Verwaltung der 
notwendigen Pseudonyme sowie zur Speicherung der zugehörigen Identitäts- 
daten (IDAT). Sie soll auf einem dedizierten Rechner geführt und in einem 
lokalen Netz geschützt aufgestellt werden. Die Kommunikation mit der 
Außenwelt erfolgt über einen kontrollierten Kanal (per Firewall-Tunnel) unter 
Nutzung des SSL-Protokolls oder gleichwertiger Lösungen. 


Die TMF stellt als eine mögliche Komponente zur Umsetzung einer Patienten- 
liste den PID-Generator zur Verfügung. Dieser kann 

= online interaktiv über ein Web-Formular, 

= offline im Batchbetrieb mit Datei-Übermittlung oder 

= online als Web-Dienst aus einer externen Applikation (RDE-System) 

heraus 

genutzt werden. Für letztere Nutzungsart ermöglicht die SOAP-Schnittstelle 
des PID-Generators in der jetzigen Implementierung die Client-Server- bzw. 
Server-Server-Kommunikation zwischen einer externen Applikation und der 
Patientenliste. Diese wird durch einen Webservice (SubjectList) realisiert und 
bietet Methoden zur Bearbeitung einer PID-Anforderung (Methode getSubjec- 
tID), zur Abfrage von Patientendaten (Methode getSubjectData) und zur Über- 
prüfung der Gültigkeit eines PID (Methode isSubjectIDValid). Die Methode 
getSubjectID ruft den PID-Generator über die vorhandene CCI-Schnittstelle 
auf. Die Abfrage der Patientendaten bzw. der Validität eines PID wird direkt 
über eine SQL-Abfrage der Patientenliste durchgeführt. 
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Die folgenden Anforderungen, die mehrheitlich aus der hier neu vorgelegten 
Konzeption resultieren, sind in der bisher verfügbaren Version des PID-Gene- 
rators noch nicht umgesetzt: 


= Erzeugung und Verwaltung mehrerer zusammengehöriger pseudony- 
mer Kennungen einschließlich deren Umwandlung, 

= Entgegennahme und Verwaltung auch extern erzeugter Kennungen 
(z.B. SIC), 

m Ausgabe geeigneter Zugriffstickets für die Kommunikation mit KDB, 
SDB und Pseudonymisierungsdienst, 

= Überarbeitung und Erweiterung der Schnittstellen zur Kommunikation 
mit RDE-Software („SOAP-Schnittstelle“), KDB und SDB bzw. den dort 
angesiedelten Systemkomponenten des Pseudonymisierungsdienstes 
(s.u. in Kap. 6.1.6.2). 


Die TMF wird zeitnah über mögliche Nachfolgeprodukte des PID-Generators 
informieren”. 


6.1.6.2 Pseudonymisierungsdienst 


Die TMF hat eine Software zur Umsetzung eines Pseudonymisierungsdienstes? 
implementieren lassen, die von den folgenden Voraussetzungen ausgeht: 


= Die Daten in Klinischen und Studiendatenbanken sind einfach pseudo- 
nymisiert mit einem eindeutigen PID, oder PID,. 

= Der jeweilige PID ist für ein und dieselbe Person immer gleich, auch 
wenn diese Person in verschiedenen Einrichtungen behandelt wird oder 
an unterschiedlichen Studien zu unterschiedlichen Zeiten teilnimmt. 

= Die Forschungsdatenbank kann das Attribut PSN speichern. 


Über den Pseudonymisierungsdienst werden strukturierte Daten zwischen der 
Studien- (SDB) und der Forschungsdatenbank (FDB) ausgetauscht. Dazu müs- 
sen auf Seiten der SDB und der FDB Schnittstellen eingerichtet werden, um den 
Pseudonymisierungsdienst aufrufen und Daten in geeigneten Formaten über- 
tragen zu können. Für diese Übertragungen gelten folgende Anforderungen: 


Sie müssen je nach Richtung des Informationsaustausches einen PID, (bei 
Nachrichten von der SDB an die FDB) oder ein PSN (bei Nachrichten von der 
FDB an die SDB) enthalten. 


Die Nachricht kann über eine definierte Kennung (OrgDAT zum Vorgang) be- 
schrieben werden, die Auskunft darüber erteilt, welche Reaktion von der 


29 siehe http://www.tmf-ev.de/datenschutz-leitfaden 

30 Im folgenden Textabschnitt wird die Bezeichnung Pseudonymisierungsdienst für das konkrete Softwareprodukt 
der TMF und nicht das davon unabhängige theoretische Konzept eines Pseudonymisierungsdienstes verwendet. 
Da sich sowohl für das Konzept als auch das Produkt mittlerweile die Bezeichnung Pseudonymisierungsdienst 
durchgesetzt hat, werden hier keine neuen separaten Namen eingeführt. 
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Gegenseite angefordert wird. Solche Reaktionen können sein: „Kontextdaten 
zu einem PID für die Qualitätssicherung senden“, „Datensatz in FDB abspei- 
chern“, „Patient ein Finding anbieten“ u.a. 


Weiterhin kann die Nachricht medizinische Daten (MDAT) enthalten. Der 
Pseudonymisierungsdienst geht davon aus, dass diese Daten bereits auf Seiten 
der jeweils sendenden Datenbank verschlüsselt werden und insofern unab- 
hängig davon, ob die Übertragungswege zum Pseudonymisierungsdienst 
ebenfalls SSL-gesichert sind, niemals im Klartext außerhalb der beiden Daten- 
banken sichtbar sind. Innerhalb der MDAT dürfen niemals personenidenti- 
fizierende Angaben (Namen, PID, PSN, Versicherungsnummern o.ä.) enthal- 
ten sein, da die MDAT vom Pseudonymisierungsdienst nicht verändert, son- 
dern lediglich in verschlüsselter Form weitergeleitet werden. 


Um diese Voraussetzungen zu gewährleisten, sind auf Seiten der Datenbanken 
spezielle Komponenten erforderlich, um die Kommunikation mit dem Pseu- 
donymisierungsdienst zu ermöglichen. Diese, als SDB- bzw. FDB-Komponen- 
te bezeichnet, sind Teil der Software des Pseudonymisierungsdienstes, werden 
aber nicht dort, sondern bei der jeweiligen Datenbank implementiert. Abbil- 
dung 13 zeigt die Architektur des Pseudonymisierungsdienstes. 


Scope des Pseudonymisierungsdienstes i Forscher 


l Pseudonymi- | E 


sierungsdienst i 


| Forschungs- 


datenbank (FDB) 


Behandler 


HPC (optional) ' 


Studiendatenbank 
(SDB) 


SDB- 
Komponente 


Smartcard mit 
symmetrischem Schlüssel 
für Pseudonymisierung 


Komponente 


Abb. 13 Vorhandene Komponenten des Pseudonymisierungsdienstes 


Der Pseudonymisierungsdienst spezifiziert folgende technische Dienste, die 
von den Komponenten genutzt werden können: 


= PSD-Service: Dies sind die eigentlichen Services des Pseudonymisie- 
rungsdienstes, d.h. die Umwandlung eines PID, in ein PSN und umge- 
kehrt. 

= FDB-Service: Dies sind generische und erweiterbare Services, die die 
FDB-Komponente bereitstellt. 

= SDB-Service: Dies sind generische und erweiterbare Services, die die 
SDB-Komponente bereitstellt. 
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= Crypter: Mit diesen Services werden Nutzdaten (MDAT, Findings) (außer- 
halb des Pseudonymisierungsdienstes) zur Kommunikation zwischen 
SDB- und FDB-Komponente ver- und entschlüsselt. 


Um die Vertraulichkeit der Daten zu gewährleisten, kommen die folgenden 
Schlüsseltypen im Rahmen des Pseudonymisierungsdienstes zum Einsatz: 


= https-Keys (asymmetrische und symmetrische Schlüssel) für die SSL- 
Verschlüsselung, 

= MDAT-Keys (asymmetrische Schlüssel) für die Datenverschlüsselung, 
die dem Pseudonymisierungsdienst selbst nicht bekannt sind, 

= Pseudonymisierungsschlüssel (symmetrischer Schlüssel auf Smartcard). 


Zur Pseudonymisierung wird ein symmetrischer kryptographischer Algorith- 
mus hoher Sicherheit genutzt. Der Schlüssel ist gegen Auslesen gesichert auf 
einer Smartcard oder in einem Hardware Security Module gespeichert, deren 
wenige Exemplare von den für den Pseudonymisierungsdienst verantwortli- 
chen Personen verwahrt und eingesetzt werden. Die Transformation des PID, 
in ein PSN wird auf dieser Chipkarte durchgeführt, so dass der geheime Schlüs- 
sel die Karte nicht verlässt. Das Gleiche gilt für den umgekehrten Weg, bei 
dem ein PSN in einen PID, transformiert wird. 


Als Algorithmus wird mindestens DES-3 (Data Encryption Standard) vorge- 
schlagen, der in vielen marktgängigen Kartenchips implementiert ist; soweit 
von den Produkten her möglich, sollte der neue AES (Advanced Encryption 
Standard) genutzt werden (s. Kap. 2.2 des Kryptographischen Gutachtens im 
Anhang?). 


Hinweis auf Weiterentwicklungsbedarf: Die Komponente Pseudonymisierungs- 
dienst muss von zwei unterschiedlichen Ausgangskomponenten angespro- 
chen und genutzt werden können. Sowohl aus der Klinischen Datenbank 
(KDB) wie aus einer Studiendatenbank (SDB) heraus muss eine weitere Pseu- 
donymisierung angestoßen werden können, um Daten an die Forschungs- 
datenbank zu exportieren. Die aktuelle Implementierung sieht das Szenario 
eines Exports aus der KDB nicht vor und muss entsprechend erweitert werden. 
Zudem sollte die Vermittlung der MDAT optional auch ohne vollständige 
Durchleitung durch den PSD-Service möglich sein. Hierfür sollte ein entspre- 
chendes Handling von Zugriffstickets vorgesehen werden (s. Abb. 9). 


Folgende Komponenten müssten angepasst werden: 


= PSD-Service: Es muss ermöglicht werden, dass dieser Service nicht nur 
vom SDB-Service und FDB-Service angesprochen werden kann, sondern 
auch von dem neu zu konzipierenden KDB-Service. Zudem muss er das 
Management von Zugriffstickets für die direkte Weitergabe von MDAT 
vom SDB- oder KDB-Service an den FDB-Service unterstützen. 


31 Anhänge siehe www.tmf-ev.de/datenschutz-leitfaden 
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= KDB-Service: Dieser Service muss neu implementiert werden und ana- 
logzum bestehenden SDB-Service Aktionen ausführen. Wegen der unter- 
schiedlichen Handhabung des PID, (nicht in der KDB bekannt) muss in 
diese Komponente auch eine Kommunikation mit der Patientenliste, 
insbesondere die Handhabung eines Zugriffstickets (TKT), eingebaut 
werden, siehe Abbildung 14. 

= SDB-Service: Hier ist eine Erweiterung insofern nötig, als dieser sowohl 
über einen SIC als auch über einen PID, angesprochen werden können 
muss. Zudem ist das Handling von Zugriffstickets bei der direkten Ver- 
sendung von MDAT an den FDB-Service umzusetzen. 
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FDB- 
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y 


Forschungs-DB 
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PSN MDAT: 
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Abb. 14 Die KDB-Komponente des Pseudonymisierungsdienstes. TKT = Zugriffsticket 


Ferner sollte die Implementation so gestaltet werden, dass im Maximalmodell 
von einem Prüfarzt des Studienmoduls, der gleichzeitig als behandelnder Arzt 
im Klinischen Modul wirkt, Daten aus beiden Modulen in einem Arbeitsgang 
an die FDB übermittelt werden können. 


6.1.6.3 Übertragungssicherheit 


Für die Übertragung aller relevanten Datenströme über das Internet ist ein ge- 
eignetes kryptographisches Protokoll zu nutzen. Für die meisten Anwendungs- 
fälle (webbasierte Kommunikation oder Web-Dienste) ist SSL/TLS geeignet; es 
können aber auch sichere Lösungen auf VPN-Techniken aufgesetzt werden, 
siehe Kapitel 3.7 des Kryptographischen Gutachtens im Anhang.» 


32 Anhänge siehe www.tmf-ev.de/datenschutz-leitfaden 
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6.1.7 Einordnung der bisherigen Datenschutzkonzepte der TMF 


Die bisherigen Datenschutzkonzepte - die Modelle A und B des generischen 
Datenschutzkonzepts sowie das Datenschutzkonzept für Biomaterialbanken - 
ordnen sich in die im Maximalmodell beschriebenen Strukturen so ein, wie 
es Abbildungen 15-17 skizzieren. 
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Abb. 15 Das Modell A des bisherigen generischen Datenschutzkonzepts in der übergeordneten 
Struktur 


Modell B 
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Abb. 16 Das Modell B des bisherigen generischen Datenschutzkonzepts in der übergeordneten 
Struktur. Für die Dateneingabe ist der Behandler aus dem Klinischen Modul nur 
beispielhaft dargestellt. 
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Abb. 17 Das generische Datenschutzkonzept für Biomaterialbanken in der übergeordneten 
Struktur. Für die Dateneingabe ist der Behandler aus dem Klinischen Modul nur 
beispielhaft dargestellt. 


6.2 Rechtemanagement 


Das Rechtemanagement betrifft die Mitarbeiter und Nutzer des Forschungs- 
verbunds und soll u.a. gewährleisten, dass Informationen über Patienten und 
Studienteilnehmer nicht von Unberechtigten gesehen oder geändert werden 
können. Das Rechtemanagement bezieht sich auf die im Forschungsverbund 
eingesetzten IT-Systeme und besteht aus den Teilen: 


= Authentisierung, d.h. manipulationssicherer Nachweis von Nutzer- 
Identitäten sowie 

= Autorisierung, d.h. Vergabe von Zugriffsrechten auf Daten und von Aus- 
führungsrechten für Funktionen. 


Ist die sichere Authentisierung eines Nutzers gewährleistet, kann seine Au- 
torisierung zur Ausübung von Funktionen im Netz und zum Datenzugriff an- 
hand von Zugriffskontrolllisten und ähnlichen Mechanismen, die in der Regel 
in einem Datenbank- oder Studiensoftware-System implementiert sind, zu- 
verlässig überprüft werden. 


Das Rechtemanagement für die IT-Systeme eines Forschungsverbundes beruht 
auf dem Regelwerk des Forschungsverbundes, das in Policies ausgedrückt 
wird. In diesem Kapitel wird nur der technische Aspekt behandelt; auch dafür 
können nur einige grundsätzliche Aspekte beschrieben werden. Die Details 
der Umsetzung können sich sehr unterscheiden und sind Gegenstand des Si- 
cherheitskonzepts des Forschungsverbunds. Grundsätzlich wird empfohlen, 
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= Policies zentral für einen Forschungsverbund und 
= konkrete Zugriffsrechte dezentral in den einzelnen Modulen oder Daten- 
banken des Forschungsverbunds 


zu verwalten; diese Aufteilung erscheint sowohl vom Arbeitsaufwand als auch 
im Hinblick auf die informationelle Gewaltenteilung zweckmäßig. 


6.2.1 Zweck und Verwendungsbereich 


6.2.1.1 Authentisierung von Nutzern 


Authentisierung bedeutet, dass ein Nutzer seine behauptete Identität zwei- 
felsfrei nachweist (sich ausweist); Authentifizierung, dass dieser Nachweis 
manipulationssicher überprüft wird (s. Abb. 18). Ein bekannter Authenti- 
sierungsmechanismus ist die Eingabe eines - zur Benutzerkennung passen- 
den - Passworts, das im System (meist einweg-verschlüsselt) hinterlegt sein 
muss. Von starker Authentisierung spricht man, wenn stattdessen eine kryp- 
tographische Infrastruktur mit der Möglichkeit zur digitalen Signatur verwen- 
det wird (s. Tab. 3); die Passwort-Eingabe wird dabei durch das digitale Signie- 
ren eines einmaligen Zufallswertes ersetzt (Challenge-Response-Verfahren), 
siehe Kapitel 3.6 des Kryptographischen Gutachtens im Anhang». Niemand 
anders als der Besitzer des privaten Signaturschlüssels kann die korrekte Sig- 
natur erzeugen, und ein Angreifer kann mit dem erlauschten Zufallswert und 
der zugehörigen Signatur nichts anfangen. Dieses Verfahren wird typischer- 
weise mit Smartcards realisiert. Ähnlich sicher kann die Authentisierung mit 
Hilfe von Hardware-Token gestaltet werden, die Einmal-Passwörter erzeugen. 


Wer bist du? 


(Identifizierung) 


Und wie kannst kannst du das beweisen? 


(Authentisierung) 


Abb. 18 Authentisierung 


Tab.3 Vergleich von schwacher und starker Authentisierung 


Antwort bei ... Wer bist Du? Wie kannst Du das beweisen? 
Passwortverfahren (schwache Authentisierung) Name Passwort 
Challenge-Response (starke Authentisierung) Name (Zertifikat) digitale Signatur 


33 Anhänge siehe www.tmf-ev.de/datenschutz-leitfaden 
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Andere Authentisierungsverfahren, die auf der Überprüfung von biometri- 
schen Merkmalen beruhen, sind in vernetzten IT-Systemen nicht ohne Wei- 
teres praktikabel, da eine zentrale Datenbank dieser Merkmale mit sehr ho- 
hem Sicherheitsanspruch betrieben werden müsste. Für lokale Authenti- 
sierungsvorgänge sind aber insbesondere Fingerabdruckscanner durchaus ge- 
eignet, z.B. um Nutzer an ihrem Arbeitsplatzrechner oder für die Nutzung 
ihrer Smartcard zu authentifizieren. Die Marktentwicklung in diesem Bereich 
sollte beobachtet werden. 


6.2.1.2 Rollen und Rechte im Forschungsverbund 


Aufgrund einer sicher vollzogenen Authentifizierung eines Nutzers wird seine 
Autorisierung zur Ausübung von Funktionen im Netz zuverlässiganhand von 
Rechtedefinitionen festgelegt, die in Policies und Rollenbeschreibungen for- 
muliert und in Zugangskontrolllisten o.ä. abgelegt sind. 


Rechte im Forschungsverbund betreffen 


= Datenzugriffe und die Verarbeitung von Daten sowie 
= die Administration der IT-Systeme und der Infrastruktur mit ihren 
Komponenten. 


Rechte sind in der Regel an Rollen gebunden, wie z.B. „Forscher“, „System- 
administrator der Forschungsdatenbank“, und werden an Einzelpersonen über 
deren Zuordnung zu Rollen vergeben. Die für die einzelnen Module und Kom- 
ponenten eines Forschungsverbunds relevanten Rollen und Rechte werden 
jeweils dort beschrieben. 


Ein zentrales Nutzer- und Rollenverzeichnis (z.B. Active Directory) kann für 
die Rechte- und Rollenverwaltung gute Dienste leisten, erscheint aber in 
einem verzweigten und heterogenen Forschungsverbund kaum mit angemes- 
senem Aufwand realisierbar. Daher wird empfohlen, Regelwerke in Form von 
Policies zentral (als Texte) zu verwalten und in jeweils dezentraler Nutzerver- 
waltung und Rechtevergabe umzusetzen. Die für bestimmte Zugriffsentschei- 
dungen benötigten ADAT werden im generischen Fall in der Patientenliste, 
u.U. aber auch bei den MDAT gespeichert, siehe Kapitel 6.1.5.1 und 6.5.2.4. 


6.2.1.3 Zugriffsentscheidungen 


Um eine Zugriffsentscheidung treffen zu können, muss das jeweilige IT-Sys- 
tem oder der Netzdienst folgende Informationen zur Verfügung haben: 


= Identität des Zugreifenden (authentifiziert), 

= Rolle des Zugreifenden, 

= Definition der Rechte, die mit diesem Nutzer und dieser Rolle verbun- 
den sind. 
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Für die Verwaltung der Zugriffsrechte auf Objekte (IT-Systeme oder Netzdienste, 
Daten oder Prozesse) gibt es prinzipiell verschiedene Ansätze (s. Abb. 19): 


1. Objekte (bzw. die sie tragenden IT-Systeme) verwalten sich selbst, d.h., 
sie prüfen bei einer Anfrage eines authentifizierten Partners (Person oder 
Prozess) anhand der in ihnen selbst implementierten Regeln, wie sie 
antworten oder reagieren wollen. Ein solcher dezentraler Ansatz benötigt 
nur ein Minimum an Vertrauensannahmen (nämlich in die zuverlässige 
Authentisierung), stößt aber sehr schnell an Komplexitätsgrenzen. 

2. Es werden vertrauenswürdige Dienste genutzt, die die Entscheidung auf 
sichere Weise treffen und übermitteln können; dies kann wiederum auf 
zwei Weisen geschehen: 

online durch Abfrage eines TTP-Dienstes, der eine Entscheidung der 
Art „erlaubt“ oder „nicht erlaubt“ zurückliefert, 

offline, durch Prüfung eines „Credentials“, also eines von einem TTP- 
Dienst signierten Attributs (Zugriffsticket), das die Berechtigung aus- 
drückt und vom Antragsteller präsentiert wird. 


Beispiele: Die Patientenliste enthält auch die Information, wer als zugriffs- 
berechtigter behandelnder Arzt für einen Patienten beim Forschungsnetz er- 
fasst ist (ADAT, s. Kap. 6.1.1.1). Diese Information kann z.B. an eine Klinische 
Datenbank (KDB) weitergegeben werden. Rechte, die in einer Studiendaten- 
bank (SDB) festgelegt sind, können an andere Anwendungen im Forschungs- 
verbund mitgeteilt werden. 


6.2.2 Anwendungsfälle 


6.2.2.1 Anwendungsfälle und ihre empfohlene Lokalisierung 


Tabelle 4 stellt dar, welche Lokalisierungen für die verschiedenen Anwen- 
dungsfälle empfohlen werden. 


Tab.4 Lokalisierung von Anwendungsfällen 


Anwendungsfall empfohlene Ansiedlung 
Anlegen und Administrieren von Nutzerkonten dezentral, evtl. in zentralem Verzeichnis 


Anlage und Verwaltung von Rollen zentral oder dezentral nach zentral vorgegebenen 


Policies 
Zuordnung von Nutzern zu Rollen dezentral 
Definition von Policies zentral 
Definition von Rechten dezentral 
Zuordnung von Rechten zu Rollen zentral oder dezentral 
Verteilung der Nutzer- und Rechtedaten an von zentral nach dezentral, evtl. auch von 
Subsysteme (z.B. einzelne Datenbanken) dezentral nach dezentral 
Prüfung von Rechten dezentral, evtl. durch zentrale Dienste unterstützt 
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Abb. 19 Drei Modelle der Zugriffsentscheidung 
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Als Anwendungsfälle kommen, je nach konkreter Implementierung, die Ver- 
waltung von zentralen Diensten sowie der Datenbanken im Forschungs- 
verbund und evtl. einer PKI hinzu. 


6.2.2.2 Benötigte Dienste 


Falls das Rechtemanagement im Forschungsverbund überhaupt zentral orga- 
nisiert wird, sind eine Reihe von Sicherheitsdiensten nötig, die als Trusted 
Third Party Services aufzusetzen sind, d.h. - vom technischen Standpunkt aus 
betrachtet - als Netzdienste oder Web-Services, die sowohl interaktiv als auch 
von Prozessen in Anspruch genommen werden können und das Vertrauen al- 
ler am Netz Beteiligten genießen. Die wichtigsten davon sind 


Benutzerverwaltung, 

PKI- und Zertifikateverwaltung, 

Authentisierungsdienst, 

Rollenverwaltung, in der Regel in Form von Benutzergruppen, mit de- 

zentraler Zuordnung von Benutzern zu Rollen, 

= Policy-Dienste: Definition, Pflege und Interpretation von Sicherheits- 
richtlinien, die vor allem Zugriffsberechtigungen betreffen und durch 
generische Zugriffsregeln ausgedrückt werden, 

= Zugriffskontroll- oder Autorisierungsdienste: konkrete Umsetzung der 
Policies in Zugriffsentscheidungen (auch dynamische und kontextsen- 
sitive, Workflow-abhängige), 

= Gateways zwischen Modulen oder Teilbereichen mit unterschiedlichen 

Policies. 


6.2.3 Nutzer, Rollen und Rechte 


6.2.3.1 Generische Rollen im Forschungsverbund 


Die durch die primären Aufgaben des Forschungsverbunds definierten Rollen 
(behandelnder Arzt, Prüfarzt, Studienleiter, Forscher) sind bei den einzelnen 
Modulen definiert; siehe auch das Glossar. 


Daneben gibt es eine Reihe von implementationsabhängigen, durch die IT- 
Architektur des Forschungsverbundes definierten Rollen, hauptsächlich Sys- 
temadministratoren und Nutzer für die eingerichteten Dienste und Daten- 
banken; diese werden im jeweiligen Kontext beschrieben. 


6.2.3.2 Rollen im Rechtemanagement 


Hier gibt es die Rolle der Systemverwalter für alle separat betriebenen zentra- 
len Komponenten, z.B. für ein zentrales Verzeichnis, sowie zur dezentralen 
Rechteverwaltung auf Servern und für Dienste. 
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6.2.3.3 Mögliche Rollenkonflikte 


Einzelne klinisch tätige Ärzte sind gleichzeitig auch als Wissenschaftler in 
ihren jeweiligen Forschungsnetzen tätig; dabei besteht das Risiko, dass ein 
solcher Arzt Daten von einem seiner früheren Patienten, der inzwischen bei 
einem anderen Arzt in Behandlung war, trotz Pseudonymisierung wieder er- 
kennt und somit unbefugt Informationen erhält. Dieser interpersonelle Kon- 
fliktist jedoch nicht neu, auch bei der konventionellen Papierdokumentation 
in der klinischen Forschung bestehen ähnliche Probleme, wobei die Wieder- 
erkennbarkeit sogar erleichtert ist. Zudem sind hier die Zugriffsregeln nicht 
elektronisch einstellbar, so dass die Regel „wenig Zugriff ist voller Zugriff“ bei 
der konventionellen Datenhaltung zutrifft. Im elektronischen Verfahren lässt 
sich die Behandlung der „Doppelrolle“ durch eine rollenbasierte Zugriffsbe- 
rechtigung, die in diesem Fall zwei unterschiedliche Profile für einen Mit- 
arbeiter vorsieht, regeln. Ein bewusster, vorsätzlicher Missbrauch dieses Kon- 
zeptes - wie auch bei der Papierlösung - lässt sich aber naturgemäß nicht rest- 
los verhindern, und ist durch die ärztliche Schweigepflicht sowie durch die 
Regeln des Forschungsverbundes auszuschließen. Hier sei auch auf das Rechts- 
gutachten [11] verwiesen. Ähnliches gilt, wenn Arzt und Systemadministrator 
in einer Person verkörpert werden. 


Weiter kann ein Rollenkonflikt entstehen, wenn eigentlich getrennt zu hal- 
tende Datenbestände wie z.B. identifizierende Daten (IDAT) und medizinische 
Daten (MDAT) in derselben Institution gespeichert werden und Zugriffe von 
Mitarbeitern auf beide Datenbestände nicht sicher genug ausgeschlossen wer- 
den können. In solchen Fällen ist kritisch zu prüfen, ob eine solche Vereinfa- 
chung nach den Kriterien der Verhältnismäßigkeit (vgl. Kap. 6.7) vertretbar 
ist. Gerade in großen Forschungsverbünden, die das hier vorgeschlagene Ma- 
ximalmodell implementieren und je Modul ggf. auch über mehrere Daten- 
banken verfügen, ist eine besonders sorgfältige Prüfung auf mögliche Rollen- 
konflikte bei allen Beteiligten unumgänglich. 


6.2.4 Verantwortlichkeiten 


Für die grundsätzliche Definition von Rechten und Policies ist die Leitung des 
Forschungsverbundes zuständig. Diese Aufgabe kann an den Ausschuss Daten- 
schutz delegiert werden. 


Die Dienste für das Rechtemanagement nach Kapitel 6.2.2.2 können zentral 
oder dezentral angeordnet werden. Bei zentraler Anordnung besteht noch die 
Wahl zwischen einer am Netz beteiligten Einrichtung und einem externen 
Dienstleister. Wie solche TTP-Diensterechtlich und organisatorisch aufgesetzt 
werden, hängt vom rechtlichen und organisatorischen Status der Anwen- 
dungsumgebung ab. Für ein medizinisches Forschungsnetz wird man recht- 
lich oder vertraglich verpflichtete Organisationen wählen, die ein hohes Si- 
cherheitsniveau garantieren können. 
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Das Nutzer- und Rechtemanagement ist in hohem Maße abhängig von be- 
stehenden Infrastrukturen und Workflows in den Forschungsnetzen. Es wird 
aber jedenfalls von allen Modulen vorausgesetzt und benutzt. Da das Identi- 
tätsmanagement an zentraler Stelle im Forschungsverbund steht, liegt es 
nahe, die zentralen Funktionen des Rechtemanagements ebenfalls hier an- 
zusiedeln. In einem großen Forschungsverbund ist eine Trennung der Funk- 
tionen im Sinne derinformationellen Gewaltenteilung zu empfehlen. Hier ist 
aber, abhängig von Größe und Struktur des Forschungsverbundes, die Ver- 
hältnismäßigkeit des Aufwandes zu wahren. Unter dem Gesichtspunkt des 
Datenschutzes können sowohl zentrale als auch dezentrale Lösungen sicher 
gestaltet werden. 


6.2.5 Aspekte der Realisierung 


In der Praxis gibt es für das Rechtemanagement und seine Komponenten viele 
unterschiedliche technische Lösungen; keine davon ist als allgemein etablier- 
ter Standard anzusehen. Am weitesten verbreitet dürfte nach wie vor ein se- 
parates Rechtemanagement in jeder selbstständig administrierten Komponen- 
te eines Forschungsverbundes sein, in der Regel mit Passwort-basierter Aut- 
hentisierung auf jedem einzelnen Server, sowie die in der jeweiligen Daten- 
bank vorgesehene Regelung von Zugriffsrechten; dies ist aufgrund der 
Marktdominanz dieser Verfahren bei weitem am einfachsten umzusetzen. 
Daher ist das Rollenmanagement auf der Seite der konkreten Implementierung 
in der Regel nicht als Modul oder Komponente abgrenzbar. 


Dennoch wird empfohlen, die Verwaltung von Nutzern bei geeigneten Res- 
sourcen möglichst zentral zu organisieren, auf jeden Fall aber die Definition 
von Policies und möglichen Rollen. Allerdings sollen die Rechte für jeden Teil 
der Infrastruktur gesondert administriert werden können: Die in diesem Kon- 
zept an vielen Stellen geforderte informationelle Gewaltenteilung wird nur 
wirksam umgesetzt, wenn die disziplinarisch unabhängigen Stellen im Netz 
über die jeweilige Rechtevergabe selbst wachen. Dies impliziert insbesondere 
die Zuordnung von Nutzern zu Rollen auf der Ebene der einzelnen Module. 
Zur Nutzerverwaltung und Rollenvergabe werden also dezentrale Zugriffs- 
rechte benötigt. 


6.2.5.1 Nutzung eines Verzeichnisdienstes 


Als zentrale Komponente dafür wird ein Verzeichnisdienst (Directory) emp- 
fohlen, der aber dezentralen Systemadministratoren für die Verwaltung ihrer 
jeweiligen Nutzer zugänglich ist. Dieser ermöglicht eine zentrale Authenti- 
sierung (Single-Sign-On). Unter dem Gesichtspunkt des Datenschutzes ist aber 
eine völlig dezentrale Nutzerverwaltung ebenso akzeptabel. 
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6.2.5.2 Nutzung einer PKI 


Die Public-Key-Infrastruktur (PKI) sorgt für ein sicheres Management privater 
und öffentlicher Schlüssel. Für den privaten Schlüssel - derja als persönliches 
Geheimnis zu behandeln ist - ist ein sicherer Aufbewahrungsort vorzusehen, 
den der Schlüssel möglichst nicht verlassen muss. Ideal geeignet ist eine Chip- 
karte (Smartcard), die auch in der Lage ist, die kryptographischen Grundfunk- 
tionen Verschlüsselung, Signatur und starke Authentisierung auszuführen. 


Öffentliche Schlüssel müssen dagegen nicht geheim gehalten werden, aber 
ihre Authentizität muss gesichert werden. Dazu dienen Zertifikate. Sie setzen 
voraus, dass eine von allen Teilnehmern anerkannte vertrauenswürdige Zen- 
tralinstanz existiert, die durch digitale Signatur den öffentlichen Schlüssel 
an eine eindeutige Kennzeichnung seines Besitzers bindet. Eine solche Instanz 
wird Trustcenter oder Certification Authority (CA) genannt und ist ein Beispiel 
für eine Trusted Third Party (TIP). 


Aufbau und Betrieb einer PKI sind Standardaufgaben, zu denen es zahlreiche 
bestehende Verfahrensvorschriften und Softwareprodukte gibt. Für medizi- 
nische Forschungsverbünde wird aber empfohlen, keine eigene PKI aufzu- 
bauen, sondern mittelfristig die der zukünftigen Gesundheitstelematik, ins- 
besondere den Heilberufeausweis (HBA) zu nutzen. Die Möglichkeiten hierzu 
folgen aus dem Rechtsgutachten von Roßnagel und Mitarbeitern [11]. 


6.2.5.3 Technische Aspekte der Rechtevergabe 


Wird mit einem rollenbasierten Ansatz gearbeitet, so ist keine explizite Ver- 
teilung von Rechtedaten nötig. Die Zuordnung von Nutzern zu Rollen wird in 
der Nutzerverwaltung dezentral (selbst wenn es ein zentrales Nutzerverzeich- 
nis gibt) durchgeführt, das rollenbasierte Rechtemanagement wird lokal an 
den Servern auf der Basis der netzweit geltenden Policies eingestellt. 


Für die Verteilung der Rechte-Informationen geeignete Methoden und Werk- 
zeuge werden nachfolgend aufgeführt. Solche Informationen können entweder 
als Zugriffsentscheidung auf geschütztem Wege von einem zentralen Server an 
die jeweiligen Dienste oder Datenbanken übermittelt werden, oder der jewei- 
lige anfragende Nutzer erhält diese in Form eines Credentials (Zugriffstickets), 
d.h. einer vom zentralen Dienst digital signierten „Erlaubnisbescheinigung“. 


6.2.5.4 Spezifikation von Richtlinien und Regeln 


Richtlinien und Regeln eines medizinischen Forschungsverbundes werden in 
der Regel in Textform beschrieben und dezentral in den einzelnen Modulen 
und Komponenten entsprechend implementiert. Für große und komplexe 
Verbünde kommt aber auch die Einführung und Nutzung von technischen 
Werkzeugen in Betracht, wenn sich der Investitionsaufwand hierfür lohnt. 
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Wichtige entsprechende Werkzeuge für die Einrichtung von Sicherheitsdiens- 
ten sind standardisierte Sprachen, mit denen Richtlinien und Regeln eindeu- 
tig spezifiziert und automatisiert verarbeitet werden können; gängige Ansät- 
ze hierfür sind z.B. 


= SAML = Security Assertion Markup Language, eine XML-basierte Aus- 
zeichnungssprache zur Beschreibung von sicherheitsbezogenen Infor- 
mationen. 

= XACML = eXtensible Access Control Markup Language: ein XML-Schema, 
das die Verwaltung von Policies (im engeren Sinne: Rechtevergaberegeln) 
definiert. XACML definiert eine Sprache, in der Zugriffsberechtigungen 
durch Attribute, Bedingungen und Regeln ausgedrückt und zwischen 
verschiedenen Diensten und Prozessen kommuniziert werden können. 
Dadurch lassen sich wesentlich komplexere Zugriffsregeln ausdrücken 
als durch einfache Zugriffslisten (ACL = Access Control List). 


6.2.5.5 Weitere mögliche Werkzeuge 


Auch hier handelt es sich um eine Aufzählung von Werkzeugen, deren Nut- 
zung einer Aufwands- und Nutzenabschätzung unterliegt und die nicht gene- 
rell für alle Forschungsverbünde empfohlen wird. 


= Kerberos ist ein verteilter Authentisierungsdienst für Computernetze. 

= Shibboleth ist eine Sammlung von Diensten, die lokalen Authentisie- 
rungs- und Autorisierungsdiensten ermöglicht, fremden Diensten die 
nötigen Informationen für Zugriffsentscheidungen zur Verfügung zu 
stellen 

= VOMS (Virtual Organization Membership Service) ist ein datenbank- 
gestützter Mechanismus zur zentralen Verwaltung von Rollen und Rech- 
ten (globale Autorisierung) 


Hinweis: Erfahrungen mit dem Einsatz solcher Werkzeuge liegen bisher nur 
im Grid-Umfeld vor. Die Nutzbarkeit für medizinische Forschungsverbünde 
müsste erst noch in einem Pilotprojekt geprüft werden, bevor konkrete Emp- 
fehlungen zum Einsatz formuliert werden können. 


6.3 Kombinierter Einsatz von Studienmodul und Klinischem Modul 
6.3.1 Zweck und Anwendungsbereich 


In den Kapiteln 5.1 und 5.2 werden die Konzepte eines Klinischen Moduls zur 
versorgungsnahen Datenerhebung sowie eines Studienmoduls zur Durchfüh- 
rung einzelner Forschungsprojekte (z.B. klinischer Studien) getrennt vonei- 
nander beschrieben. Im Folgenden soll der kombinierte Einsatz eines Klini- 
schen Moduls und eines Studienmoduls innerhalb eines Forschungsnetzwerks 
dargestellt werden. Die Module werden hierbei auf Basis der im jeweiligen 
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Kapitel beschriebenen Konzepte eingesetzt. Abweichungen sowie Besonder- 
heiten im Zusammenspiel der Module werden zusätzlich beschrieben. 


Im Rahmen seltener sowie chronischer Erkrankungen kann sich die Notwen- 
digkeit ergeben, Patienten längerfristig im Rahmen eines Forschungsnetzes 
zu behandeln. Hierdurch wird zum einen die Möglichkeit zur kontrollierten 
longitudinalen Erhebung und Auswertung von Daten geschaffen, zum ande- 
ren können Patienten auf Basis der im Rahmen der Versorgung erhobenen 
Daten für Studien im Rahmen des Forschungsnetzes rekrutiert werden. Es 
entstehen Überschneidungen zwischen den im Rahmen der Routineversor- 
gung und für die Studiendokumentation benötigten Daten, die sowohl zum 
Vorteil des Patienten aus der Forschung in die Versorgung übernommen (z.B. 
Nutzung eines aufwändigen Bildgebungsverfahrens für die Versorgung) als 
auch zur Vermeidung einer Mehrfacherfassung von der Versorgung in die For- 
schung übertragen werden können. Voraussetzung ist das Vorliegen der Daten 
in einer für den jeweiligen Anwendungszweck notwendigen Qualität und Voll- 
ständigkeit. 


Durch die Verbindung von Studien- und Klinischem Modul ergeben sich zu- 
sätzliche Datenflüsse für die Datenübernahme, die sowohl bei der Umsetzung 
dieser Komponenten als auch beim ID-Management berücksichtigt werden 
müssen. 


Im Rahmen des Zusammenflusses von Studien- und Versorgungsaspekten 
kann sich auch eine Personeneinheit von Studienarzt und behandelndem Arzt 
ergeben. Die Zugriffsrechte ergeben sich dabei aus der Vereinigungsmenge 
der beiden Rollen. Um Doppelerfassungen zu vermeiden, sollte nach Möglich- 
keit die Eingabe über ein System erfolgen, von dem aus die Daten geschützt 
an das jeweilige andere System übertragen werden. 


Informationssysteme der Routineversorgung (z.B. Krankenhausinforma- 
tionssysteme, Praxisverwaltungssysteme oder elektronische Patientenak- 
ten) können Bestandteile eines Klinischen Moduls sein. Ebenso können 
Daten aus separat betriebenen Routineversorgungssystemen mit dem Kli- 
nischen Modul ausgetauscht werden. Das generische Datenschutzkonzept 
der TMF deckt in diesen Fällen nur die zweckgebundene Nutzung im Kontext 
des Klinischen Moduls ab, es soll kein allgemeines Datenschutzkonzept für 
den Betrieb von Systemen der klinischen Routineversorgung abgebildet 
werden. 


6.3.2 Anwendungsfälle und Prozesse 


Die Anwendungsfälle des Studien- und des Klinischen Moduls werden aus- 
führlich in den entsprechenden Kapiteln beschrieben. In diesem Kapitel wird 
der Fokus auf die Prozesse gelegt, die sich aufgrund der Verbindung des Stu- 
dienmoduls mit dem Klinischen Modul ergeben. 
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6.3.2.1 Daten zwischen Studienmodul und Klinischem Modul übermitteln 


Wenn ein Patient eines Forschungsverbundes sowohl an einer Studie als auch 
am Klinischen Modul teilnimmt, so besteht die Möglichkeit, die schon in 
einem Modul erfassten Daten des Patienten in dasandere Modul zu übertragen, 
um Doppelerfassungen zu vermeiden. Um diese Übertragung zu ermöglichen, 
bedarf es eines netzweiten Identitätsmanagements (s. Kap. 6.1), das sowohl 
das Pseudonym des Patienten aus dem Klinischen Modul (PID,) als auch das 
aus dem Studienmodul (PID, bzw. SIC, für jede Studie) enthält. 


Bei der Übertragung aus dem Studienmodul in das Klinische Modul werden 
zwei Fälle unterschieden: 


a) Der verantwortliche Arzt stellt eine entsprechende Anfrage von Seiten des 
Klinischen Moduls an das Studienmodul (s. dazu auch Abb. 20). Hierzu schickt 
er eine Nachricht mit den identifizierenden Daten des Patienten an das Iden- 
titätsmanagement. Das Identitätsmanagement authentifiziert und autori- 
siert den Arzt, selektiert anhand der identifizierenden Daten des Patienten 
die Pseudonyme PID, und PID, bzw. SIC und erstellt ein Zugriffsticket (TKT). 
Das TKT wird mit dem PID, des Patienten an das Klinische Modul und mit dem 
PID, bzw. SIC an das Studienmodul geschickt. Das Studienmodul selektiert 
anhand des PID, bzw. dem SIC die medizinischen Daten (MDAT,) des Patien- 
ten, entfernt den PID, bzw. den SIC und schickt die Daten mit dem TKT an das 
Klinische Modul. Das Klinische Modul ordnet den Datensatz anhand des TKT 
dem PID, des Patienten zu und speichert die Daten zu dem entsprechenden 
PID 
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Abb. 20 Transfer von medizinischen Daten eines Patienten aus dem Studienmodul in das 
Klinische Modul, angestoßen vom Klinischen Modul. 


b) Der Datentransfer wird auf Seiten des Studienmoduls angestoßen (dies kann 
beispielsweise nach Abschluss einer Studie automatisch erfolgen, s. dazu auch 
Abb. 21). Hierzu muss der PID, des entsprechenden Patienten an das Identi- 
tätsmanagement geschickt werden. Das Identitätsmanagement authentifi- 
ziert und autorisiert den entsprechenden Anfragenden, ordnet dem PID, des 
Patienten seinen PID, zu und erstellt ein Zugriffsticket. Das TKT wird mit dem 
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PID, des Patienten an das Klinische Modul geschickt und mit dem PID, an das 
Studienmodul. Die Selektion und Übertragung erfolgt wie oben bereits be- 
schrieben. 
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Abb. 21 Transfer von medizinischen Daten eines Patienten aus dem Studienmodul in das 
Klinische Modul, angestoßen vom Studienmodul. 


Die Übertragung aus dem Klinischen Modul an das Studienmodul kann auch 
aus beiden Richtungen angestoßen werden. Die Mechanismen sind ebenfalls 
die gleichen. Die Übertragung der Daten des Patienten erfolgt in diesem Fall 
vom Klinischen Modul an das Studienmodul. 


Ziel der Verwendung eines durch das Identitätsmanagement vermittelten Zu- 
griffstickets ist es, eine Verknüpfung von PID, und PID, bzw. SIC außerhalb 
der Patientenliste zu verhindern. Eine direkte Kommunikation der medizini- 
schen Daten des Patienten (in verschlüsselter Form) über die Patientenliste 
und damit die Möglichkeit, die Pseudonyme direkt in den medizinischen 
Daten auszutauschen (angelehnt an das Verfahren des Pseudonymisierungs- 
dienstes), wurde nicht gewählt, um die klare räumliche und organisatorische 
Trennung der medizinischen Daten von den identifizierenden Daten des Pa- 
tienten aufrecht zu erhalten. Das oben beschriebene Verfahren wird als eine 
mögliche Variante zur datenschutzkonformen Übertragung medizinischer 
Daten eines Patienten zwischen Klinischem und Studienmodul gesehen. So- 
fern die gerade beschriebenen Schutzprinzipien eingehalten werden, sind 
auch andere Umsetzungsmöglichkeiten vorstellbar. 


Eine relevante Standardisierungsinitiative für solche Datentransfers stellt das 
Profil Retrieve Form for Data Capture (RFD) der Organisation Integrating the 
Healthcare Enterprise (IHE) dar. Auch wenn dieser Vorschlag auf das not- 
wendige korrekte Handling der Pseudonyme derzeit noch nicht detailliert ein- 
geht, könnten die hier spezifizierten Kommunikationsstandards für künftige 
Softwaresysteme eine wichtige Anforderung darstellen. 


34 siehe http://wiki.ihe.net/index.php?title=Retrieve_Form_for_Data_Capture 
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6.3.2.2 Patienten in Klinisches Modul oder Studienmodul aufnehmen 


Beim Einholen der Einwilligungserklärung sollte mit abgefragt werden, ob 
der Patient auch an möglichen Studien Interesse hat bzw. später auf entspre- 
chende Studien hingewiesen werden möchte. Des Weiteren sollte abgefragt 
werden, ob der Patient schon an Studien im Rahmen des Forschungsverbundes 
teilgenommen hat und ob diese Daten im Klinischen Modul genutzt werden 
sollen. Ist dies der Fall, so können die Daten wie oben beschrieben aus dem 
Studienmodul an das Klinische Modul übertragen werden. 


6.3.2.3 Datenqualität sichern 


Ergänzend zu üblichen Qualitätssicherungsverfahren in einzelnen Studien 
kann bei Kombination mit einem Klinischen Modul auch ein Abgleich von 
Daten aus der Versorgung zu einem Patienten durchgeführt werden. Sollte 
sich dabei z.B. herausstellen, dass sich das Geburtsjahr geändert hat oder bei 
einem erwachsenen Patienten eine deutlich veränderte Körpergröße festge- 
stellt wurde, so wären dies gerechtfertigte Auslöser für eine weitere Daten- 
überprüfung. Aus Sicht des Klinischen Moduls können ebenfalls Daten einer 
Studie für die Qualitätssicherung herangezogen werden. 


Sollten bei der Qualitätssicherung im Klinischen Modul Änderungen an Daten 
erfolgen, die ihren Ursprung im Studienmodul haben und in das Klinische 
Modul übernommen wurden, so sollte sichergestellt werden, dass die Verant- 
wortlichen des Studienmoduls informiert werden. Hierbei können die ent- 
sprechend zu ändernden Daten des Patienten mit dem Hinweis auf den Fehler 
wie oben beschrieben zwischen dem Klinischen Modulund dem Studienmodul 
ausgetauscht und entsprechende Fehler korrigiert werden. Bei Korrekturen 
im Studienmodul wird äquivalent verfahren. Für diese Vorgehensweise müs- 
sen Datensätze, diein das jeweils andere Modul übertragen worden sind, ent- 
sprechend gekennzeichnet werden. 


6.3.2.4 Daten erheben 


Werden teilweise die gleichen Daten eines Patienten im Rahmen der Versor- 
gung sowie einer Studie erfasst, so ist es sinnvoll, diese nur in einem System 
zu erfassen und sie anschließend im Studienmodul und Klinischen Modul zu 
speichern. Je nach Workflow kann hier das Studienmodul oder das Klinische 
Modul das erfassende System sein. Die Übertragung der Daten an das andere 
System kann nach dem oben beschrieben Verfahren erfolgen. 


6.3.2.5 Studiendaten auswerten 


Nach der Auswertung einer Studie können die entsprechenden Ergebnisse der 
Studie für den Patienten im Klinischen Modul bereitgestellt werden. Hierzu 
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werden die Ergebnisse mit dem PID, des Patienten versehen und nach dem 
gleichen Verfahren wie die Studiendaten an das Klinische Modul übertragen. 


6.3.2.6 Unerwartete Ereignisse managen 


Sollten während einer Studie unerwartete Ereignisse zu einem Patienten ein- 
treten, so können diese Informationen mit dem PID, des Patienten versehen 
und nach dem gleichen Verfahren wie die Studiendaten an das Klinische Modul 
übertragen werden. 


6.3.2.7 Studiendaten archivieren 


Vor der Archivierung von Studien sollten die entsprechenden Daten für die 
Versorgung des Patienten wie oben beschrieben in das Klinische Modul über- 
tragen werden. 


6.3.2.8 Daten sperren, anonymisieren oder löschen 


Bei einem Widerruf der Einwilligung eines Patienten ist zu überprüfen, ob 
dieser Widerruf sowohl für die Daten des Studienmoduls als auch für die Daten 
des Klinischen Moduls gilt und die entsprechenden Daten in den Modulen ge- 
löscht bzw. anonymisiert werden. Des Weiteren ist eine Löschung der identi- 
fizierenden Daten im Identitätsmanagement erforderlich. 


Wenn Studiendaten im Rahmen einer klinischen Prüfung nach den Vorschrif- 
ten des AMG verwaltet werden, so ist bei einem Widerrufen der Einwilligung 
zu beachten, dass bestimmte Daten aus Sicherheitsgründen nicht gelöscht 
oder anonymisiert werden dürfen (vgl. Kap. 4.3.1). 


6.3.2.9 Machbarkeit einer Studie prüfen und Rekrutierung unterstützen 


Für das Prüfen der Machbarkeit einer Studie und mehr noch die Rekrutierungs- 
unterstützung wird vor allem die Klinische Datenbank wichtige Daten liefern 
können. Zum einen wird sie mehr Datensätze als eine Studiendatenbank be- 
inhalten, wenn in einem Forschungsverbund über einen längeren Zeitraum 
mehr Patienten behandelt wurden als aktuell in eine der laufenden Studien 
eingeschlossen sind. Wichtiger aber ist noch, dass die aktuell in Studien ein- 
geschlossenen Patienten nicht für eine weitere Rekrutierung zur Verfügung 
stehen. 


Die Überprüfung der Machbarkeit einer Studie anhand anonymer Fallzahlen 
aus der Vergangenheit kann grundsätzlich auch unabhängig von einer vor- 
herigen Einwilligung durchgeführt werden. Problematisch wäre jedoch eine 
anonyme Zusammenführung von Klinischer und Studiendatenbank, die zu 
doppelten Datensätzen führt. Bei Vorliegen einer entsprechenden Einwilli- 
gung der Probanden und einer Genehmigung durch den Ausschuss Daten- 
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schutz ist grundsätzlich auch eine pseudonyme Zusammenführung der Daten 
zur Abschätzung der Machbarkeit neuer Vorhaben oder auch zur Rekrutie- 
rungsunterstützung möglich. Letzteres jedoch nur bei Vorliegen eines sinn- 
vollen Nutzungsszenarios für die Daten einer Studiendatenbank zu Rekrutie- 
rungszwecken. Eine mögliche Kontaktierung des Patienten kann wie im Ka- 
pitel 6.3 beschrieben erfolgen. 


6.3.3 Nutzer, Rollen und Rechte 


Für die Patientenliste ist analog zur Beschreibung im Studienmodul ein Ad- 
ministrator, ggf. unterstützt durch eine Dokumentationskraft, vorzusehen. 
Für die Administration der Studiendatenbank und der Klinischen Datenbank 
werden separate Administratoren benötigt, die Zugriff auf die jeweils dort ge- 
speicherten MDAT, nicht jedoch die IDAT in der Patientenliste haben. Das Ad- 
ministrationspersonal von ID-Management und Studiendatenbank/Klinischer 
Datenbank sollte unter getrennter Verantwortung stehen (organisatorische 
Gewaltenteilung). 


Studienärzte und Dokumentationskräfte erhalten Zugang auf die von ihnen 
betreuten Patienten im Studienmodul. Behandelnde Ärzte wiederum erhalten 
Zugriff auf die von ihnen betreuten Patienten im Klinischen Modul. Eine Pa- 
tientenselbsteingabe kann in das Studienmodul oder Klinische Modul erfol- 
gen, wenn sichergestellt ist, dass ein Patient nur Zugriff auf den jeweils eige- 
nen Datensatz erhält. Bei Personeneinheit von Studien- und behandelndem 
Arzt ergeben sich die Berechtigungen aus der Vereinigungsmenge der jewei- 
ligen Rollen. 


Die Umsetzung der Rollen Monitor und Sponsor erfolgt analog zur Beschrei- 
bung des Studienmoduls, wobei Quelldaten, die im Rahmen des Monitorings 
geprüft werden, auch im Klinischen Modul liegen können. Wenn sich auf- 
grund des Monitorings Änderungsbedarf an Daten des Studienmoduls erge- 
ben, sollen diese Änderungen im Klinischen Modul nachvollzogen werden. 


6.3.4 Verantwortlichkeiten 


Die Verantwortlichkeiten innerhalb des Studienmoduls und Klinischen Mo- 
duls werden in den Kapiteln 5.2 und 5.1 beschrieben. Die Gesamtverantwor- 
tung liegt beim Forschungsverbund. Mit der Führung der Patientenliste sowie 
der Studiendatenbank /Klinischen Datenbank werden voneinander unabhän- 
gige Einheiten des Verbunds beauftragt. Analog zum Studienmodul kann die 
Gesamtverantwortung mit der Führung der Patientenliste auch an einen zen- 
tralen Datentreuhänder übergeben werden. Datenschutzrechtlich sensible 
Fragen (z.B. Depseudonymisierung) sollten in einem zentralen Gremium (Aus- 
schuss Datenschutz) entschieden werden. Bei einer multizentrischen Erhe- 
bung in ein zentrales System müssen Verantwortliche an den beteiligten 


144 


6.4 Kombinierter Einsatz von Studien- und Forschungsmodul 


Standorten festgelegt werden. Bei Studien gemäß AMG oder MPG sind hier 
geltende zusätzliche Anforderungen sowie die übergeordnete Verantwortung 
des Sponsors zu berücksichtigen. 


6.4 Kombinierter Einsatz von Studien- und Forschungsmodul 


In Kapitel 5.2 wird das technische und organisatorische Konzept für eine Infra- 
struktur beschrieben, die für die Durchführung einzelner Forschungsprojek- 
te wie z.B. klinischer Studien gemäß der Vorgaben des AMG oder MPG geeignet 
ist. Dabei wurde lediglich angedeutet, dass auch eine weitere Nutzung der 
Daten nach Abschluss der Studien für bestimmte Fragestellungen notwendig 
sein könnte. Ebenfalls bereits beschrieben (Kap. 5.3) sind Aufbau und Rahmen- 
bedingungen langfristig angelegter Forschungsdatenbanken, wie sie typi- 
scherweise für epidemiologische Fragestellungen, zur Generierung neuer For- 
schungshypothesen oder für die Rekrutierungsunterstützung genutzt werden. 
Dabei wurde jedoch bisher nicht näher beschrieben, wie eine übergreifende 
Infrastruktur in datenschutzgerechter Weise aufgebaut werden kann, die so- 
wohl die Durchführung einzelner Studien und Forschungsprojekte wie auch 
die Zusammenführung der Daten nach Abschluss der Studien in einer über- 
geordnet und langfristig angelegten Forschungsdatenbank unterstützt. Der 
Schwerpunkt der folgenden Ausführungen liegt somit auf der Verzahnung von 
Studien- und Forschungsmodul, wie sie jeweils einzeln bereits in Kapitel 5 
beschrieben wurden. 


6.4.1 Zweck und Anwendungsbereich 


Die vom Bundesministerium für Bildung und Forschung (BMBF) seit 1999 ge- 
förderten Kompetenznetze in der Medizin hatten und haben neben der Ver- 
netzung von Forschung und Versorgung insbesondere auch die Einbettung 
einzelner Forschungsprojekte in übergeordnete Infrastrukturen zum Ziel. So 
sollten nicht nur die Aufwände für die Umsetzung einzelner Studien verrin- 
gert, sondern aus den gesammelten Daten auch ein größerer Nutzen gezogen 
werden können. Dieses auch im Interesse der Patienten liegende Ziel führte 
über die Vermittlung und Unterstützung in der TMF zur Ausarbeitung einer 
generischen Konzeption, die dann als Modell B in den generischen Daten- 
schutzkonzepten der TMF 2003 bekannt wurde [1]. Der Aspekt der Unterstüt- 
zung einzelner klinischer Studien nach den engen Vorgaben des Arzneimittel- 
rechts fand damals noch keine ausführliche Berücksichtigung, da gerade die 
wissenschaftlich motivierten Arzneimittelstudien noch von dem Regulie- 
rungskorsett des AMG ausgenommen waren. Dies hat sich mit der 12. Novelle 
des AMG 2004 grundlegend geändert. Die vorliegende Neukonzeption einer 
übergreifenden Forschungsinfrastruktur profitiert somit einerseits von den 
Erfahrungen einiger Kompetenznetze, die im Gefolge der 12. AMG-Novelle be- 
reits Erfahrungen mit dem Aufbau und der Anpassung ihrer Studieninfra- 
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strukturen gemäß der Vorgaben des AMG gesammelt haben. Andererseits wer- 
den hier Erfahrungen in neuer und generischer Form zusammengefasst, die 
neuen Forschungsverbünden eine deutlich schnellere und ökonomischere 
Konzeption, Abstimmung und Umsetzung einer zukunftssicheren und lang- 
fristig angelegten Studieninfrastruktur erlaubt. Auch wenn die Vorgaben des 
AMG für die IT-Unterstützung und Durchführung einzelner Studien berück- 
sichtigt werden, ist die vorgeschlagene Infrastruktur nicht auf diese Form der 
Forschung festgelegt. 


6.4.2 Prozesse und Anwendungsfälle 
6.4.2.1 Patienten in das Studienmodul aufnehmen 


Der Prozess der Aufnahme von Patienten in eine Studie wurde bereits in Ka- 
pitel 5.2 beschrieben. Für die spätere Zusammenführung und Nutzung der 
Daten aus verschiedenen Studien oder Forschungsprojekten ist allerdings ent- 
scheidend, dass die Einwilligungserklärungen zentral hinterlegt oder zumin- 
dest ausgewertet werden, da gerade die spätere Nutzung der Daten nur in 
Übereinstimmung mit einer idealerweise abgestuft formulierten Einwilli- 
gungserklärung [5, S. 97] geschehen darf. Zudem ist ein zentrales ID-Manage- 
ment (vgl. Kapitel 6.1) notwendig, welches zumindest die personenbezogene 
Zusammenführung der Pseudonyme einzelner Studien (Subject Identification 
Codes, SIC) anhand einer übergeordneten ID (PID,) erlaubt. Die Patientenliste 
kann dabei für jede Studie separate IDs (SICs) verwalten und anhand eines 
einheitlichen Pseudonyms für das Studienmodul (PID,) einander zuordnen, 
oder es wird von der Patientenliste für jedes Studien- oder Forschungsprojekt 
immer das gleiche Pseudonym (PID,) herausgegeben. Wenn je Studie unab- 
hängige SICs verwendet werden, kann die Patientenliste diese entweder von 
anderen Softwarekomponenten entgegennehmen und dauerhaft zusammen 
mit dem PID, verwalten, oder die Patientenliste erzeugt diese IDs selber und 
gibt sie auf Anfrage heraus. Diese Prozesse sind bereits ausführlich in Kapi- 
tel 5.2 zum Studienmodul als Variante mit zentraler Patientenliste sowie in 
Kapitel 6.1 beschrieben. 


Eine deutliche Vereinfachung und Beschleunigung der Rekrutierung lässt sich 
erreichen, wenn auf die Daten früherer Forschungsprojekte in einer For- 
schungsdatenbank in Übereinstimmung mit den entsprechend formulierten 
Einwilligungserklärungen zurückgegriffen werden kann. Auch hierfür ist ein 
zentraler Zugriff nicht nur auf die für die Ein- und Ausschlusskriterien rele- 
vanten Daten, sondern auch auf die durch die Einwilligungserklärungen fest- 
gelegten Nutzungsmöglichkeiten entscheidend. Diese sollten hierfür auch im 
Forschungsmodul mit hinterlegt sein. 
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6.4.2.2 Studiendaten erheben, auswerten und archivieren 


Die Erhebung, Auswertung und Archivierung der Daten innerhalb einer kli- 
nischen Studie oder eines einzelnen Forschungsprojekts richtet sich weitest- 
gehend nach den Anforderungen des konkreten Forschungsvorhabens und ist 
in Kapitel 5 ausführlicher beschrieben. Die nach Abschluss des Einzelprojekts 
stattfindende Überführung der Daten in eine übergeordnete Forschungsdaten- 
bank hat auf diese Prozesse keinen direkten Einfluss. Dies gilt auch für Auf- 
gaben wie z.B. das Management unerwarteter Ereignisse samt den damit 
einhergehenden gesetzlichen Meldeverpflichtungen. 


6.4.2.3 Datenqualität im Studienmodul sichern 


Ergänzend zu üblichen Qualitätssicherungsverfahren in einzelnen Studien 
(vgl. Kap. 5.2.2.5) kann bei Kombination mit einem Forschungsmodul auch 
ein Abgleich von Daten aus verschiedenen Studien zu einem Patienten durch- 
geführt werden. Eine solche Datenüberprüfung kann durch verschiedene un- 
stimmige Daten ausgelöst werden (vgl. Kap. 6.3.2.3). 


Bei der Übermittlung von Kontextdaten aus der Forschungsdatenbank an das 
zentrale Datenmanagement im Studienmodul zum Zwecke der Qualitätssi- 
cherung wird nur eine einstufige Depseudonymisierung benötigt. Diese erste 
Stufe der Depseudonymisierung sollte als reine Maschinenfunktion angelegt 
werden, die nur von besonders autorisierten Mitarbeitern des Datenmanage- 
ments im Studienmodul angestoßen werden kann. Dieser Anwendungsfall 
setzt die Definition eines studienübergreifenden Kern- oder Basisdatensatzes 
voraus, der in jeder Studie erhoben und somit zum Abgleich genutzt werden 
kann. Die Einwilligung der betroffenen Patienten für den konkret auf diesen 
Kerndatensatz bezogenen Abgleich mit bereits früher erhobenen Daten muss 
vorliegen. 


Ausgangspunkt des Prozesses ist das zentrale Datenmanagement im Studien- 
modul, welches für alle Probanden, die bereits an einer vorhergehenden Stu- 
die teilgenommen haben, die PID, sammelt und an den Pseudonymisierungs- 
dienst schickt, der diese symmetrisch in PSN umschlüsselt und an die For- 
schungsdatenbank weiterreicht. Dort werden die zu den PSN zugehörigen 
Kerndatensätze herausgesucht und wiederum an den Pseudonymisierungs- 
dienst geschickt, der diese nach symmetrischer Umschlüsselung der PSN in 
PID, an das Datenmanagement im Studienmodul ausliefert. Dort können dann 
automatisierte Auswerteroutinen den Abgleich vornehmen und Auffälligkei- 
ten in den Daten für eine weitere Überprüfung kennzeichnen. 


Alternativ kann dieser Prozess auch über einen SIC aus der Studiendatenbank 
gesteuert werden. Hierfür ist die Einschaltung der Patientenliste über ein Ticket- 
Handling nötig, so dass der PID, gegenüber der Studienzentrale nicht offenbart 
werden muss und andererseits die Patientenliste keinen Zugriff auf medizini- 
sche Daten erhält. 
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6.4.2.4 Datenqualität im Forschungsmodul sichern 


Es kann die Notwendigkeit bestehen, medizinische Daten, die sich schon in 
der Forschungsdatenbank befinden und im Regelfall bereits einen aufwändi- 
gen Qualitätssicherungsprozess durchlaufen haben, trotzdem noch einmal 
zu ändern oder zu korrigieren. Im Zusammenhang mit einem Studienmodul 
wird dies z.B. dann notwendig, wenn im Rahmen der aktuellen Studie fest- 
gestellt wird, dass bereits in einem früheren Forschungsprojekt erhobene Ba- 
sisdaten eines Patienten aktualisiert werden müssen (vgl. Kap. 5.2.2.5 zur 
Qualitätssicherung). Ein anderer Fall liegt vor, wenn allein in den Daten der 
Forschungsdatenbank Inkonsistenzen oder Fehler entdeckt werden, die jedoch 
nur mit Rückgriff auf die Quelldaten behoben werden können. 


Wenn der Aktualisierungsbedarf im zentralen Datenmanagement des Studien- 
moduls entdeckt wird, übermittelt dieses den aktualisierten Datensatz mit 
dem zugehörigen PID, an den Pseudonymisierungsdienst imID-Management, 
der die Umschlüsselung des PID, in ein PSN übernimmt und die Daten dann 
an die Forschungsdatenbank weiterleitet. Hier wird der Datensatz anhand des 
Pseudonyms PSN selektiert und geändert bzw. überschrieben. 


Werden hingegen Fehler oder unplausible Daten im Forschungsmodul selbst 
festgestellt und ist ein Rückgriff auf die Quelldaten notwendig, ist ein anderes 
Vorgehen einzuhalten. Zunächst wird zu dem betreffenden Datensatz das 
Pseudonym PSN ermittelt und zusammen mit einer Fehlerbeschreibung über 
den Pseudonymisierungsdienst an die für die identifizierenden Daten zustän- 
dige Stelle im ID-Management geschickt. Diese nimmt daraufhin Kontakt mit 
dem aktuell behandelnden Arzt auf und leitet die Anfrage mit der Fehlerbe- 
schreibung weiter. Nach Beantwortung der Anfrage wird ein ggf. korrigierter 
Datensatz vom behandelnden Arzt an die zentrale Stelle im ID-Management 
und von dort mit dem PID, über den Pseudonymisierungsdienst an das Daten- 
management im Forschungsmodul weitergeleitet. Dort kann anhand des PSN 
eine Korrektur des betreffenden Datensatzes vorgenommen werden. 


Aus Sicht des Datenschutzes kann es dem Betreiber der Forschungsdatenbank 
überlassen werden, ob er die Änderung in Form einer Versionierung oder mit 
Hilfe eines Audit Trails nachvollziehbar macht. Im Sinne einer hohen Daten- 
qualität sind aber Funktionen, die eine Nachvollziehbarkeit aller Änderungen 
gewährleisten, auf jeden Fall zu empfehlen. 


6.4.2.5 Daten vom Studienmodul in das Forschungsmodul übermitteln 


Auch wenn in die hier konzeptuell beschriebene Forschungsdatenbank Daten 
aus ganz unterschiedlichen Quellen eingespeist werden können, stehtin der 
folgenden Beschreibung die Übernahme von Daten aus klinischen Studien 
oder anderen, einzeln über ein Studienmodul abgewickelten Forschungspro- 
jekten im Vordergrund. Dabei werden die Daten üblicherweise nach Abschluss 
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eines Forschungsprojekts oder zumindest nach Abschluss der Qualitätssiche- 
rungin die langfristig angelegte Forschungsdatenbank transferiert. Für diesen 
Prozess sind folgende Voraussetzungen entscheidend: 


= Der Patient hat in die pseudonymisierte Speicherung nach Abschluss des 
konkreten Forschungsvorhabens eingewilligt. 

= Der Patient hat in die Auswertung und Nutzung seiner Daten über die 
konkrete Fragestellung der aktuellen Studie hinaus eingewilligt. 

= Der in die Forschungsdatenbank übertragene medizinische Datensatz 
erlaubt im Zusammenhang mit ggf. dort bereits gespeicherten Daten 
weiterhin eine pseudonyme Speicherung, d.h. dass auch bei Nutzung 
aller medizinischen Daten eines Patienten nach wie vor eine Reidenti- 
fizierung faktisch ausgeschlossen bleibt. 

= Die Kennung der medizinischen Einrichtungen oder der individuellen 
Ärzte kann in den Forschungsdaten im Klartext oder ebenfalls pseudo- 
nymisiert gespeichert werden. Vor einer Speicherung solcher Daten im 
Klartext muss geklärt werden, dass hierdurch kein relevantes Reidenti- 
fizierungsrisiko entsteht. 


Wenn diese Voraussetzungen gegeben sind, müssen die Datensätze mit einem 
langfristig sicheren Pseudonym versehen werden, welches an keiner weiteren 
Stelle im Zusammenhang mit den identifizierenden Daten der Patienten gespei- 
chert wird. Dies wird durch eine zweite Stufe der Pseudonymisierung in einem 
Pseudonymisierungsdienst als Teil des Identitätsmanagements umgesetzt. 


Als Ausgangspseudonym kann dabei nicht ein studienspezifisches Pseudonym 
(SIC) verwendet werden, da dann über die daraus gebildeten Pseudonyme der 
zweiten Stufe keine Zusammenführung von Daten aus mehreren Studien mög- 
lich wäre. Somit müssen für den Schritt der zweiten Pseudonymisierung die 
medizinischen Daten aus der aktuellen Studiendatenbank und die studien- 
unabhängige ID im Studienmodul (PID,) aus der Patientenliste im Zusammen- 
hang verarbeitet werden, wobei eine physische Zusammenführung der Daten 
nach Möglichkeit vermieden werden sollte. Insbesondere dürfen die medizi- 
nischen Daten nicht an die Patientenliste geschickt werden, da dies die infor- 
mationelle Gewaltenteilung in Bezug auf identifizierende und medizinische 
Daten durchbrechen würde. Die folgenden beiden Lösungen werden vorge- 
schlagen: 


1. Die Studiendatenbank enthält bereits den PID, als übergeordnete ID oder 
kann diesen problemlos und in Vereinbarkeit mit dem Datenschutzkon- 
zept bei der Patientenliste mit Hilfe eines SIC abfragen. Dann werden 
die medizinischen Daten mit dem öffentlichen Schlüssel der Forschungs- 
datenbank asymmetrisch verschlüsselt und zusammen mit dem PID, an 
den Pseudonymisierungsdienst geschickt. 

2. In der Studiendatenbank ist nur ein studienspezifischer SIC hinterlegt 
und die übergreifende ID aus der Patientenliste kann aufgrund der 
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Datenschutzregeln des Forschungsverbunds auch nicht abgefragt wer- 
den, bzw. sollte sie der Studienzentrale mit der aktuellen Studiendaten- 
bank nicht zur Kenntnis gelangen. In diesem Falle übermittelt die Stu- 
diendatenbank an die Patientenliste nur den aktuellen SIC und erhält 
von dieser ein Ticket (TKT) als temporäre ID. Daraufhin schickt die Pa- 
tientenliste den studienunabhängigen PID, zusammen mit dem gerade 
erzeugten Ticket an den Pseudonymisierungsdienst. Gleichzeitig werden 
die medizinischen Daten (MDAT) aus der Studiendatenbank mit dem 
öffentlichen Schlüssel der Forschungsdatenbank asymmetrisch ver- 
schlüsselt und zusammen mit dem von der Patientenliste übermittelten 
Ticket im Klartext an den Pseudonymisierungsdienst geschickt. Dieser 
kann dann die verschlüsselten und damit nicht einsehbaren MDAT über 
das Ticket dem von der Patientenliste empfangenen PID, zuordnen und 
gemeinsam verarbeiten. Das Ticketprinzip ist in Kapitel 6.1 in Abbil- 
dung 9 veranschaulicht. Der Datentransfer über den Pseudonymisie- 
rungsdienst ist zudem in Kapitel 6.1.3.4 beschrieben. 


Die Pseudonymisierung selbst wird durch eine symmetrische Umschlüsselung 
des PID, in das weitere Pseudonym PSN umgesetzt. Aus Sicherheitsgründen 
wird der hierfür genutzte Schlüssel unauslesbar aufeiner SmartCard oder einer 
vergleichbar sicheren Umgebung gespeichert. Die medizinischen Daten wer- 
den nach dem Umschlüsselungsprozess in unveränderter Form zusammen 
mit dem PSN an die Forschungsdatenbank im Forschungsmodul übergeben. 
In der Forschungsdatenbank können die medizinischen Daten (MDAT) anhand 
des privaten Schlüssels entschlüsselt und mit dem PSN als Ordnungskriterium 
gespeichert werden. 


6.4.2.6 Daten an Forscher weitergeben 


Die bei Exporten zu berücksichtigenden Rahmenbedingungen und Prozesse 
sind bereits in Kapitel 5.3 für isoliert aufgebaute Forschungsdatenbanken be- 
schrieben. 


6.4.2.7 Machbarkeit einer Studie prüfen 


Um die Machbarkeit einer Studie prüfen zu können, müssen Indizien dazu 
ausgewertet werden, wie viele den spezifizierten Ein- und Ausschlusskriterien 
entsprechende Patienten innerhalb einer bestimmten Zeitspanne zu erwarten 
sind und ggf. in die Teilnahme einer Studie einwilligen würden. Die Daten 
des hier beschriebenen Forschungsmoduls können hierfür herangezogen wer- 
den. Im Regelfall wird für eine solche Analyse kein vollständiger Export von 
Datensätzen benötigt, sondern esreicht die Herausgabe der Anzahl von Daten- 
sätzen innerhalb eines festgelegten Zeitraums, die den spezifizierten Kriterien 
entsprechen. Das nähere Verfahren ist im Kapitel 5.3 über das Forschungs- 
modul beschrieben. 
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6.4.2.8 Rekrutierung unterstützen 


Patienten, die bereits an einem früheren Forschungsprojekt teilgenommen 
haben, können mit Hilfe des Forschungsmoduls auch effektiv für weitere Stu- 
dien rekrutiert werden, sofern dies durch die Einwilligungserklärung abge- 
deckt ist. Dies kann insbesondere bei chronischen Erkrankungen von Interes- 
se sein. Anders als bei der Überprüfung der Machbarkeit wird hierfür eine 
Depseudonymisierung der Datensätze ausgelöst werden müssen, die den ge- 
suchten Ein- und Ausschlusskriterien entsprechen. Idealerweise sollten die 
hinterlegten Einwilligungserklärungen der ausgewählten Patienten eine di- 
rekte Ansprache aus dem Forschungsverbund heraus erlauben. Anderenfalls 
könnte auch eine Ansprache über die aktuell oder zuletzt behandelnde Ein- 
richtung geregelt sein. 


Der Prozess startet im zentralen Datenmanagement des Studienmoduls, wo 
die Ein- und Ausschlusskriterien zusammengetragen und mit den Metadaten 
zur Forschungsdatenbank abgeglichen werden. Die aus diesem Abgleich ent- 
standene Abfrage wird vom Ausschuss Datenschutz geprüft und an das Daten- 
management des Forschungsmoduls weitergereicht. Dort werden die PSN der 
zu dieser Abfrage passenden Datensätze extrahiert und über den Pseudonymi- 
sierungsdienst, der eine Umschlüsselung der PSN in die PID, vornimmt, an 
das zentrale Datenmanagement des Studienmoduls geschickt. Das zentrale 
Datenmanagement richtet nun an die für die Speicherung der Identitätsdaten 
verantwortliche Stelle im ID-Management (z.B. als Treuhänder) die Anfrage, 
die aktuellen Behandler und ggf. weitere Adressdaten zu den übermittelten 
PID, herauszugeben. Die hierfür verantwortliche Stelle prüft die Anfrage und 
informiert nach Freigabe durch den Ausschuss Datenschutz die aktuellen Be- 
handler über die für eine Rekrutierung in Frage kommenden Patienten. Für 
den Fall, dass Patienten nicht mehr über den aktuell verzeichneten Behandler 
angesprochen werden können, sollte eine Alternativlösung vorbereitet wer- 
den. In so einem Falle könnte ein Treuhänder beispielsweise die Patienten 
anhand der Adressdaten direkt ansprechen, siehe auch die Ausführungen zum 
Kontaktmanagement in den Kapiteln 6.1, 6.5.2.4 (Unterkapitel zu Kontakt- 
daten) und 6.6.6. 


6.4.2.9 Auskunft geben 


Wenn ein Patient Auskunft verlangt, welche Daten über ihn gespeichert sind, 
istim Falle eines kombinierten Studien- und Forschungsmoduls nicht nur der 
Datensatz in einer ggf. aktuell laufenden Studie zu berücksichtigen, sondern 
darüber hinaus eventuell auch im Forschungsmodul gespeicherte Datensätze 
aus früheren Forschungsprojekten. 


Der Patient wendet sich hierzu entweder an seinen behandelnden Arzt oder 
direkt an eine zentrale, hierfür benannte Stelle des Forschungsverbunds. Die- 
se Stelle kann bei einem zentralen Datentreuhänder angesiedelt sein. Die vom 
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behandelnden Arzt oder Patienten direkt angefragte Stelle ermittelt den zum 
Patienten zugehörigen PID, und übermittelt diesen via Pseudonymisierungs- 
dienst an das Datenmanagement im Forschungsmodul. Zu dem hier ankom- 
menden PSN werden alle zugehörigen Datensätze ermittelt und über den Pseu- 
donymisierungsdienst an die anfragende Stelle zurückgeschickt. Diese reicht 
die Daten entweder an den Patienten direkt oder an den behandelnden Arzt 
weiter. 


6.4.2.10 Daten im Forschungsmodul umpseudonymisieren 


Der Austausch der Pseudonyme einer Forschungsdatenbank kann aus unter- 
schiedlichen Gründen notwendig werden: Z.B. bei Verlust oder Kompromit- 
tierung einer zur Pseudonymisierung genutzten SmartCard oder bei drohender 
Kompromittierung des verwendeten Verschlüsselungsalgorithmus. Liegt die 
Notwendigkeit eines Austausches der Pseudonyme vor, so muss dieser durch 
das Identitätsmanagement durchgeführt werden. Hierbei muss durch geeig- 
nete Verfahren sichergestellt werden, dass die neuen Pseudonyme dem rich- 
tigen Patienten bzw. Datensatz zugewiesen werden. 


Das Identitätsmanagement im Forschungsverbund teilt dem Forschungs- 
modul mit, dass eine Umpseudonymisierung nötig ist. Das Forschungsmodul 
ermittelt dann alle betroffenen Pseudonyme PSN, ggf. auch aus mehreren 
Forschungsdatenbanken, und schickt diese an den Pseudonymisierungs- 
dienst im Identitätsmanagement. Dieser transformiert die PSN zunächst mit 
Hilfe der bisherigen Smartcard zurück in den studienübergreifenden PID, und 
im Anschluss mit Einsatz der neuen Smartcard in ein neues Pseudonym. Für 
diesen Prozess muss das Forschungsmodul die neuen PSNs eindeutig den 
Datensätzen korrekt zuordnen können, die bisher mit den alten PSNs markiert 
waren. 


6.4.2.11 Daten sperren, anonymisieren oder löschen 


Wenn keine Notwendigkeit für die Speicherung pseudonymisierter Daten im 
Forschungsmodul besteht, sind diese zu löschen oder zu anonymisieren. 
Wenn eine Anonymisierung möglich ist, wird dieser im Sinne weiterer wis- 
senschaftlicher Verwertung der Daten vor dem Löschen der Vorzug zu geben 
sein. Auslöser der Anonymisierung können der Wunsch des Patienten, dessen 
Versterben oder das Verstreichen einer spezifizierten Frist seit der letzten Stu- 
dienteilnahme sein. In letzterem Falle ist die Frist so zu bemessen, dass nach 
Ablauf der Frist eine erneute Teilnahme des Patienten an einer Studie im glei- 
chen Forschungsverbund und damit die Erhebung von Follow-up-Daten so 
unwahrscheinlich ist, dass die weitere Speicherung pseudonymisierter Daten 
nicht mehr gerechtfertigt erscheint. Die hierfür relevante Frist ist im Daten- 
schutzkonzept des Forschungsverbunds festzulegen und der Patient darüber 
zu informieren. 
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Die Anonymisierung wird vom ID-Management des Forschungsverbunds aus 
gesteuert, welches entweder bei Verstreichen der festgelegten Frist ohne 
Follow-ups diese selbst initiiert oder von einer behandelnden Einrichtung oder 
aus dem Umfeld des Patienten über einen Widerruf oder das Versterben des 
Patienten informiert wird. 


In der Patientenliste des ID-Managements wird dann das studienübergreifen- 
de Pseudonym PID, ermittelt und mit der Anonymisierungsanfrage über den 
Pseudonymisierungsdienst an das Forschungsmodul übermittelt. Der Pseud- 
onymisierungsdienst ersetzt in dieser Anfrage den PID, durch das symmetrisch 
verschlüsselte Pseudonym PSN und schickt die Anfrage an das Forschungs- 
modul weiter. 


Im Forschungsmodul muss in jedem Fall sichergestellt sein, dass die Daten in 
allen beteiligten Forschungsdatenbanken anonymisiert werden. Es ist, z.B. 
durch die Wahl eines geeigneten Präfixes oder Suffixes, daraufzu achten, dass 
die anonymen IDs nicht mit pseudonymisierten IDs zu verwechseln sind. 
Wenn nur wenige Datensätze mit anonymen IDs versehen sind, muss ggf. zur 
Verhinderung einer Reidentifizierung auf eine eindeutige Markierung ano- 
nymer IDs verzichtet werden. Die Anonymisierung kann im Einzelfall und 
nach Abschätzung des Reidentifizierungsrisikos auch erfordern, dass einzelne 
charakteristische Merkmale des Falls gelöscht oder vergröbert werden. 


Nach der Anonymisierung der Daten im Forschungsmodul muss die Löschung 
der identifizierenden Daten in der Patientenliste im Identitätsmanagement 
veranlasst werden. Ggf. sind auch Patientenlisten in den behandelnden Ein- 
richtungen zu löschen. 


Wenn das Löschen von Datensätzen im Forschungsmodul erforderlich ist, wird 
auch dieser Prozess von der Patientenliste im ID-Management gesteuert. Hier- 
zu wird ebenfalls der studienübergreifende PID, ermittelt und über den Pseu- 
donymisierungsdienst mit der Löschungsaufforderung an das Forschungs- 
modul geschickt. Im Forschungsmodul werden dann in allen beteiligten For- 
schungsdatenbanken alle Datensätze mit dem zum PID, korrespondierenden 
PSN gelöscht. Im Anschluss sind die IDAT in der Patientenliste und ggf. inden 
beteiligten Zentren lokal gespeicherte Zuordnungslisten zu löschen. 


6.4.3 Nutzer, Rollen und Rechte 


Neben der Patientenliste wird für das ID-Management bei Verknüpfung eines 
Studienmoduls mit einem Forschungsmodul auch ein Pseudonymisierungs- 
dienst benötigt. Somit muss für das ID-Management nicht nur das Personal 
für die Administration der Patientenliste (s. Kap. 5.2.4) betrachtet werden 
sondern zusätzlich auch jenes für den Pseudonymisierungsdienst. Die Admi- 
nistration der beiden Dienste im ID-Management sollte unter getrennter Ver- 
antwortung stehen, so dass auch getrenntes Personal benötigt wird. Für den 
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Pseudonymisierungsdienst sollte eine administrative Kraft vorgesehen wer- 
den, die vollen Zugriff auf die Software, Einstellungen und das Handling der 
Smartcards hat. Das Personal im ID-Management wird, von administrativen 
Ausnahmen abgesehen, vor allem auf Anweisungen des Ausschusses Daten- 
schutz tätig und wird entsprechend den Vorgaben die einfache oder vollstän- 
dige Depseudonymisierung unterstützen. 


Für das Studienmodul mit seinen Studiendatenbanken und behandelnden 
Einrichtungen sind im vorliegenden Verknüpfungsszenario die gleichen Nut- 
zer und Rollen vorzusehen, wie sie bereits in Kapitel 5.2.4 beschrieben wur- 
den. Insbesondere sind die Studienärzte und unterstützende Kräfte in den 
beteiligten Zentren, administratives Personal je Studiendatenbank, Monitore 
und ggf. Personal eines kommerziellen oder universitären Sponsors als Nutzer 
mit entsprechenden Rechten einzurichten. 


Wie im Falle eines einfachen Studienmoduls muss auch geklärt werden, ob 
Patienten selbst in die Dokumentationsprozesse eingebunden werden. Ent- 
sprechend sind die Voraussetzungen hierfür zu schaffen (vgl. Kap. 5.2.4). 


Der Zugriff auf eine oder mehrere Datenbanken im Forschungsmodul kann 
durch den Administrator sowie autorisierte Forscher erfolgen. Der Administ- 
rator hat vollen Zugriff auf die Datenbanken und kann entsprechende Selek- 
tionen und Exporte veranlassen. Der Forscher kann seinem Antrag entspre- 
chend bestimmte Teile der Forschungsdatenbank einsehen. Während der Ad- 
ministrator die PSN im Forschungsmodul sehen darf, bleiben diese dem For- 
scher verborgen. Im Falle mehrerer Datenbanken im Forschungsmodul kann 
es auch getrennte administrative Zuständigkeiten für die einzelnen Daten- 
banken geben. Dabei muss aber eine einheitliche Schnittstelle zum Pseudo- 
nymisierungsdienst des ID-Managements gewährleistet bleiben. 


6.4.4 Verantwortlichkeiten 


Die Gesamtverantwortung liegt beim Forschungsverbund, was durch eine 
passende Rechtsform auch einen rechtsverbindlichen Ausdruck bekommt. 
Der Forschungsverbund beauftragt unterschiedliche Stellen mit den Aufgaben 
des ID-Managements sowie der Führung des Studien- und Forschungsmoduls. 
Dabei ist die Aufsicht über die beiden Komponenten Patientenliste und Pseu- 
donymisierungsdienst des ID-Managements an zwei separate und voneinan- 
der unabhängige Institutionen zu vergeben. Ebenfalls unabhängig voneinan- 
der sollte die Aufsicht über das Studien- und das Forschungsmodul organisiert 
werden. In begründeten Einzelfällen kann von dieser Form der vollständigen 
informationellen Gewaltenteilungabgewichen werden. Die hierfür relevanten 
Entscheidungskriterien werden in Kapitel 6.7 dargestellt und diskutiert. 


Die Verantwortlichkeiten innerhalb des Studienmoduls sind grundsätzlich so 
wie in Kapitel 5.2.5 beschrieben zu regeln. Im vorliegenden Falle ist lediglich 
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die Einbettung in die beim Forschungsverbund liegende Gesamtverantwor- 
tung zu berücksichtigen. Dies gilt auch für die Regelung der Verantwortlich- 
keiten in den beteiligten Zentren bzw. den behandelnden Einrichtungen. Die- 
se und die Verantwortlichkeiten in der Studienzentrale müssen im Falle ge- 
setzlich geregelter Studien nach AMG oder MPG zudem auch den gesetzlichen 
Anforderungen genügen. Eine übergeordnete Verantwortlichkeit kommt dann 
dem Sponsor der Studie zu. Wenn Prozesse, wie z.B. die Archivierung der 
Daten, ausgelagert werden, ist eine klare Delegationsregelung erforderlich. 


Die Einrichtung eines „Ausschusses Datenschutz“ als zentrales Gremium für 
die Beratung und Entscheidung datenschutzrechtlich sensibler Fragen wird 
dringend empfohlen. Dieses Gremium ist zudem für die Vorgabe von Richt- 
linien und Policies im Umgang mit den Daten zuständig. 


Die Patientenliste ist der sensibelste Teil des Identitäts-Managements und hat 
damit, wenn sie zentral geführt wird, einen hohen Schutzbedarf. Daten- 
schutzrechtlich ist zu berücksichtigen, dass die IDAT, obwohl sie in der Pa- 
tientenliste nicht mit medizinischen Daten (MDAT) kombiniert werden, den 
betroffenen Personenkreis ggf. als Patienten eines Forschungsnetzes mit 
einem umschriebenen Krankheitsspektrum ausweisen. Im Falle eines stig- 
matisierenden oder in anderer Hinsicht sensiblen Krankheitsbereichs ist da- 
her eine auch in den Augen der betroffenen Patienten besonders vertrauens- 
würdige Stelle mit der Führung der Patientenliste zu beauftragen. 


Der Zugriff auf die Daten der Forschungsdatenbank kann nur nach Bewilli- 
gung durch den Ausschuss Datenschutz gewährt werden. Dabei werden der 
Forschungsansatz und der dafür benötigte Datensatz geprüft. Das Gremium 
leitet die Bewilligung an den Administrator des Forschungsmoduls weiter, der 
die Daten entsprechend der genehmigten Anforderung des Wissenschaftlers 
selektiert und exportiert oder ggf. dem Forscher eine selektive Sicht auf die 
Forschungsdatenbank ermöglicht. 


6.4.5 Aspekte der Realisierung 


Zentral für die Verzahnung eines Studienmoduls mit einem Forschungsmodul 
ist ein auslagerbarer Pseudonymisierungsdienst, der eine sichere Trennung 
der einstufig und zweistufig pseudonymisierten Datenbestände ermöglicht. 
Dieser Pseudonymisierungsdienst darf als Komponente des ID-Managements 
lediglich Zugriff auf die Pseudonyme selbst und nicht etwa auf MDAT oder 
IDAT haben. Da die MDAT zwischen den Systemen „vor“ und „hinter“ dem 
Pseudonymisierungsdienst transferiert werden müssen, ist für diese ein asym- 
metrisches Verschlüsselungsverfahren zu nutzen, bei dem der Absender je- 
weils den öffentlichen Schlüssel des Empfängers zum Verschlüsseln verwen- 
det. So kann sichergestellt werden, dass nur die empfangende Komponente 
mit ihrem privaten Schlüssel die MDAT entschlüsseln und lesen kann. Alter- 
nativ zu diesem Ansatz ist auch ein Ticketsystem möglich, bei dem die MDAT 
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gar nicht an den Pseudonymisierungsdienst geschickt werden, sondern mit 
Hilfe eines temporären Tickets direkt vom Sender zum Empfänger geschickt 
werden können. Beide alternativen Möglichkeiten sind in Abbildung 9 ver- 
anschaulicht. 


Der erste Weg, der eine asymmetrische Verschlüsselung nutzt, wird bereits 
in der aktuellen Version des Pseudonymisierungsdienstes der TMF (PSD) unter- 
stützt. Dieser Dienst besteht aus drei Softwarekomponenten, die die gesamte 
Kommunikation abbilden. Die erste Komponente wird im Sicherheitskontext 
der zentralen Datenbank des Studienmoduls installiert und nimmt dort un- 
verschlüsselte MDAT und einen PID, in einer vordefinierten XML-Struktur 
entgegen. Diese XML-Struktur besteht aus einem vordefinierten Header, der 
u.a. den Absender und den umzuschlüsselnden PID, enthält. In dem nicht 
weiter vordefinierten und frei nutzbaren Body-Teil der X<ML-Struktur können 
die MDAT in unverschlüsselter Form hinterlegt werden. Diese Softwarekom- 
ponente des PSD sorgt für eine asymmetrische Verschlüsselung der MDATund 
schickt dann die X<ML-Struktur an die zentrale Komponente des PSD, wo mit 
Hilfe eines auf einer Smartcard sicher gehaltenen Schlüssels eine symmetri- 
sche Umschlüsselung des PID, in das langfristig nutzbare Pseudonym PSN 
erfolgt. Mit diesem PSN im Header der XML-Struktur werden die Daten dann 
an die dritte Komponente weiter geleitet, die im Sicherheitskontext des For- 
schungsmoduls installiert ist. Diese Komponente kann mit dem dort verfüg- 
baren privaten Schlüssel des Forschungsmoduls die MDAT entschlüsseln und 
zusammen mit dem PSN der Datenbank des Forschungsmoduls zur Verfügung 
stellen. 


Diese Lösung kann auch genutzt werden, um Daten verschiedenen Datenban- 
ken im Forschungsmodul zur Verfügung zu stellen, wobei die Adressierung 
für den PSD transparent im Sinne von unsichtbar erfolgt, d.h. diese wird in- 
nerhalb der MDAT vorgenommen. So können z.B. Bilddaten in eine separate 
Bilddatenbank transferiert werden, während die klinischen Verlaufsdaten in 
einem anderen Datenbanksystem landen. 


Zusätzlich verfügt der PSD über einen Finding-Manager, der die Möglichkeit 
bietet, einen im Forschungsmodul ermittelten relevanten Befund auf siche- 
rem Wege zum behandelnden Arzt zu übermitteln. Für die Aufrechterhaltung 
einer langfristigen Sicherheit der Pseudonyme im Forschungsmodul verfügt 
der PSD zudem über die Funktion eines Recryptings aller PSN mit Hilfe der 
alten und einer neuen Smartcard mit neuem Schlüssel. 


Eine Erweiterung des PSD ist dahingehend geplant, dass auch ein Ticketsys- 
tem zum direkten Transfer der MDAT zwischen den Komponenten in Studien- 
und Forschungsmodul unterstützt wird. Ebenso eine Erweiterung um die 
Funktion einer Vermittlung eines SIC in einen PID, mit Hilfe einer Kommu- 
nikation mit der zentralen Patientenliste des ID-Managements. 
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6.5 Das Maximalmodell eines medizinischen Forschungsverbundes 
6.5.1 Zweck und Anwendungsbereich 


Dieses Kapitel beschreibt einen Forschungsverbund, in dem ein ganzes 
Spektrum medizinischer Forschung zu einem bestimmten Krankheitsbild 
oder zu einer Gruppe zusammengehöriger Krankheitsbilder - von der mole- 
kulargenetischen über die klinische (beobachtende und interventionelle) bis 
zur epidemiologischen Forschung - in Kooperation organisiert wird. Weiter- 
hin wird angenommen, dass im Forschungsverbund die Notwendigkeit zu 
langfristiger Aufbewahrung von Daten und Proben besteht und es größere 
Patienten- und Probandenzahlen gibt, es sich also nicht z.B. um eine selte- 
ne Erkrankung handelt (s. hierzu auch unter „Verhältnismäßigkeit“, 
Kap. 6.7). 


Ein medizinischer Forschungsverbund im Maximalmodell benötigt jedes der 
Module 


Klinisches Modul, 
Studienmodul, 
Forschungsmodul und 
Biobankenmodul 


sowie dazu als zentrale Infrastruktur u.a. die Komponenten 


= Identitätsmanagement und 
= Rechtemanagement. 


Diese Struktur ist in Abbildung 8 dargestellt. 


In jedem der Module können unter Umständen auch mehrere Datenbanken 
gleicher Art angesiedelt sein; insbesondere im Studienmodul ist es oft nicht 
sinnvoll oder machbar, eine gemeinsame zentrale Datenbank für alle im For- 
schungsverbund durchgeführten klinischen Studien einzurichten. 


Werden im Forschungsverbund auch in größerem Umfang Bilddaten erzeugt 
und aufbewahrt, sind als Komponenten eine oder auch mehrere eigenständi- 
ge Bilddatenbanken vorzusehen; diese werden in einem eigenen Modul an- 
gesiedelt oder - bei entsprechend eingeschränktem Verwendungszweck - in 
Klinisches, Studien- oder Forschungsmodul integriert. Auch innerhalb eines 
solchen Moduls ist bei entsprechender Einschätzung des Reidentifizierungs- 
risikos unter Umständen die Speicherung von Bildern in einer auch für Daten 
genutzten, bereits vorhandenen Datenbank möglich oderin einer getrennten 
Datenbank notwendig. Eine organisatorisch getrennte Speicherung von Bild- 
daten ist dann nötig, wenn diese - z.B. als Fotografien des Gesichts - die Per- 
son leicht erkennen lassen. Kriterien für die einzelnen Optionen werden im 
Kapitel zur Verhältnismäßigkeit aufgeführt. 
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6.5.2 Prozesse und Anwendungsfälle 


Die für das Maximalmodell relevanten Prozesse umfassen die Gesamtheit der 
bei den einzelnen Modulen und bei deren Zusammenspiel behandelten Pro- 
zesse. Hier wird zunächst für das Maximalmodell der typische Weg eines Pa- 
tienten durch die Module des Forschungsverbunds beschrieben, danach folgen 
einige für das Maximalmodell nötige Erweiterungen und Ergänzungen zu den 
bereits in früheren Kapiteln beschriebenen Prozessen. 


6.5.2.1 Patienten aufnehmen 


Patienten werden im Maximalmodell bevorzugt in das Klinische Modul auf- 
genommen und in dessen Rahmen behandelt; ihre Daten werden in einer 
Klinischen Datenbank gespeichert, die auch als Grundlage für Beobachtungs- 
studien dient, wie in Kapitel 5.1 beschrieben. Der Forschungsverbund führt 
auch klinische Studien im Sinne des AMG oder MPG durch; dieses wird in Ka- 
pitel 5.2 beschrieben. Für diese Studien können geeignete Patienten aus dem 
Klinischen Modul, unter Umständen auch aus dem Forschungsmodul oder der 
Biomaterialbank gewonnen werden. Die Gewinnung von Teilnehmern an neu- 
en Studien ist beispielsweise in Kapitel 5.3.2.5 für eine Forschungsdatenbank 
beschrieben. Da es sich dabei um Interventionsstudien handelt, muss für die 
Teilnahme eine neue gesonderte Einwilligungserklärung eingeholt werden; 
dies ist mit vertretbarem Aufwand möglich, da der Betroffene ja ohnehin kon- 
taktiert werden muss. Hierfür werden die ADAT (s. Kap. 6.5.2.4) benötigt. 


Auch nach Aufnahme in das Studienmodul verbleibt ein Patient in der Regel 
weiterhin im Klinischen Modul; das Zusammenspiel der beiden Module istin 
Kapitel 6.3 beschrieben. Patienten, die direkt (primär) als Studienteilnehmer 
gewonnen wurden, werden, in Abhängigkeit von den Erfordernissen des For- 
schungsverbunds und der Einwilligung, parallel dazu auch in das Klinische 
Modul aufgenommen. 


Gesunde Probanden, die als Kontrollpersonen am Forschungsmodul teilneh- 
men, können auch direkt dort aufgenommen werden. 


Proben des Patienten oder Probanden werden an das Biobankenmodul über- 
geben und dort wie in Kapitel 5.4 beschrieben behandelt. Spätestens wenn der 
Patient nach den in Kapitel 5.1 formulierten Kriterien nicht mehr im Klini- 
schen Modul geführt werden soll oder darf und auch an keiner klinischen 
Studie des Forschungsverbunds mehr teilnimmt, werden die Daten in das 
Forschungsmodul überführt, das in Kapitel 5.3 beschrieben wurde; der Über- 
gang vom Studien- in das Forschungsmodul wird in Kapitel 6.4 behandelt. Im 
Forschungsmodul werden die Daten - abhängig natürlich von der vorliegenden 
Einwilligung - ebenso wie die Proben und Analyseergebnisse im Biobanken- 
modul in der Regel langfristig aufbewahrt. 
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6.5.2.2 Erweiterte Prozessbeschreibungen 


Prozesse, die im Maximalmodell mehrere oder alle Module betreffen, sind der 
Widerruf, der Todesfall und die Qualitätssicherung. Die nötigen Erweiterungen 
sind: 


= Widerruf: Widerruft ein Patient oder Proband seine Teilnahme am gesam- 
ten Forschungsverbund, so muss - in Abhängigkeit von den Regelungen 
der Einwilligungserklärung - dafür gesorgt werden, dass seine Daten in 
allen Modulen des Verbundes gelöscht bzw. anonymisiert werden. Für 
die Anonymisierung bedeutet dies insbesondere, dass alle noch im Kli- 
nischen oder Studienmodul befindlichen Daten in das Forschungsmodul 
übertragen und die IDAT im Identitätsmanagement gelöscht werden. 
Hierbei istin jedem Einzelfall darauf zu achten, dass durch diese Daten- 
zusammenführung kein erhöhtes Reidentifizierungsrisiko entsteht. 

= Todesfall: Im Todesfall werden, sobald die Datenerhebung zum Fall abge- 
schlossen ist, die Daten und Proben in allen Modulen des Forschungsver- 
bundes anonymisiert wie im Fall „Widerruf“ beschrieben. Anderweitige 
Vereinbarungen aus der Einwilligungserklärung sind zu berücksichtigen. 

m Qualitätssicherung: Ergeben sich bei Qualitätssicherungsmaßnahmen in 
einem Modul Datenänderungen (in der Regel sind das Fehlerkorrektu- 
ren), so sind diese den anderen Modulen mitzuteilen, sofern sie dort re- 
levant sind. Für die richtige Zuordnung der pseudonymen Daten ist die 
Mitwirkung des Identitätsmanagements notwendig (s.a. Kap. 6.8). 


Ein Prozess, der im Maximalmodell neu auftritt, betrifft einen Patienten, der 
an einer klinischen Studie teilnimmt und sowohl in einer Klinischen als auch 
ineiner Studiendatenbank des Forschungsverbunds geführt wird, wenn seine 
Daten in die Forschungsdatenbank übermittelt werden (simultane Übermittlung 
an die FDB). In dieser Situation ist der Prüfarzt der Studie im Sinne des Studien- 
moduls in aller Regel gleichzeitig behandelnder Arzt im Sinne des Klinischen 
Moduls. Hierzu ist nach Möglichkeit die Anwendungssoftware so zu gestalten, 
dass diese beiden Übermittlungsvorgänge durch eine einzige Aktion gemein- 
sam gestartet werden; entsprechende Anforderungen wurden in Kapitel 6.1.6.2 
formuliert. 


6.5.2.3 Bilddaten 


Bilddaten können zu verschiedenen Zwecken in einem Forschungsverbund 
wichtig sein: 

= ImKlinischen Modul oder Studienmodul werden Bilder zur Referenzdia- 

gnostik benötigt; hier besteht in der Regel ein Behandlungszusammen- 

hang im Sinne einer konsiliarischen Tätigkeit, da das Ergebnis der Re- 


ferenzbefundung direkten Einfluss auf die Behandlung des Patienten 
hat. 
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= Zur Verbesserung der Versorgung - nicht des abgebildeten Patienten, 
sondern weiterer Patienten mit ähnlichem Krankheitsbild - dient die 
Bereitstellung von Bildern als Vergleichsmaterial für den diagnostischen 
Prozess. 

= Ferner können Bilder zu Ausbildungszwecken als Anschauungsmaterial 
bereitgestellt werden. 

= Und schließlich können Bilddaten wie alle anderen Daten zu Auswer- 
tungen im Forschungszusammenhang dienen. 


Für die Erhebung und Bereitstellung von Bilddaten im Forschungsverbund gilt 
das allgemeine Ablaufmodell für medizinische Daten mit nur geringfügigen 
Modifikationen. Folgende Besonderheiten müssen beachtet werden: 


Generell enthalten vor allem Schichtbilddaten Informationen, aus denen mit 
Hilfe moderner dreidimensionaler Rekonstruktionsverfahren morphologische 
Informationen über einen Patienten rekonstruiert werden können; so kann z.B. 
das Gesicht einer Person aus einer Computertomographie des Schädels erzeugt 
werden. Dies birgt die Gefahr, dass trotz Anonymisierung oder Pseudonymisie- 
rung und der Löschung der identifizierenden Daten aus dem DICOM-Header 
die Möglichkeit besteht, solche Rekonstruktionen mit biometrischen Daten aus 
anderen Quellen abzugleichen und so den Patienten zu identifizieren. Eine 
solche Rekonstruktion ist aber - zumindest zurzeit noch - mit einem sehr ho- 
hen Aufwand verbunden; die Risiko-Einschätzung ähnelt also der für geneti- 
sche Daten: Man kann mittelfristig nicht von einer wirksamen Anonymisier- 
barkeit ausgehen. Eine Speicherung und Verwendung der Daten, soweit sie für 
die Zwecke des Forschungsverbunds unverzichtbar sind und der Forschungs- 
verbund hierfür verbindliche Regelungen getroffen hat, istin pseudonymisier- 
ter Form mit der entsprechenden Einwilligung langfristig möglich. 


Eine weitere Besonderheit betrifft das so genannte Einbrennen von Patienten 
identifizierenden Daten in das Bildmaterial selbst. Solche Daten finden sich 
vorallem auf gescannten Röntgenbildern oder auch in Datensätzen aus Ultra- 
schallgeräten. Hier ist ein nachträgliches Löschen der Daten, z.B. durch eine 
(serni-Jautomatisierte „Schwärzung“ der betroffenen Bereiche, erforderlich. 
Da dieser Vorgang zum Teil sehr kompliziert, in bestimmten Datenformaten 
sogar kaum zu lösen ist, muss bereits im Vorfeld einer Studie geklärt werden, 
welche Geräte für die Datenerhebung eingesetzt werden sollen, um ihre spe- 
zifischen Eigenschaften prüfen und entsprechende Löschprozeduren imple- 
mentieren zu können. Alternativ muss das Einbrennen der Daten von vorn- 
herein verhindert werden. 


Bilder, insbesondere Fotografien von Gesichtszügen oder besonderen persön- 
lichen Merkmalen, auf denen der Patient leicht zu erkennen oder wieder zu 


35 Für die technische Ausführung des Löschvorgangs sei auf das Datenschutzkonzept „TMl-Server“ verwiesen. 
Dieses kann bei der Geschäftsstelle der TMF angefragt werden (www.tmf-ev.de/datenschutz). 
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erkennen ist und bei denen die Erkennbarkeit nicht zu entfernen ist, sollten 
in der Einwilligung explizit erwähnt und besonders restriktiv gehandhabt 
werden. Um die Reidentifizierung der zugehörigen klinischen Daten zu ver- 
hindern, ist hier insbesondere eine getrennte Speicherung und ein separates 
Pseudonymisierungsschema (pseudonymer PID,) vorzusehen. 


Die so aufbereiteten Bilder werden - nach einem evtl. nötigen zusätzlichen 
Qualitätssicherungsprozess - in eine Bild-Datenbank oder, wie in Kapitel 6.5.1 
beschrieben, eine andere Datenbank des Forschungsverbunds übertragen. 


6.5.2.4 Organisatorische Daten 


Organisatorische Daten (OrgDAT) gehören zu einer höheren Abstraktionsstufe 
(bzw. einer niedrigeren Prozessschicht) des IT-Modells. Ihre Notwendigkeit 
und ihr Informationsgehalt ergeben sich aus den Anforderungen der Daten- 
prozessierung im Netz, sie sind nicht von vornherein durch die fachlichen 
Anforderungen des Forschungsverbunds definiert, so wie etwa IDAT und 
MDAT. Daher sind sie sehr von der konkreten Implementation der Prozesse im 
Forschungsverbund abhängig; generisch können nur einige allgemeine Aus- 
sagen gemacht werden. 


OrgDAT begleiten andere Datenarten (z.B. MDAT in verschiedenen Kontexten) 
als eine Art von Metadaten und erfüllen folgende Zwecke: 


Zugriffsregelung 


OrgDAT dienen z.T. der Zugriffsregelung, vor allem im Klinischen Modul, u.U. 
auch im Studienmodul. Dann ist ihr logischer Platz im Rechtemanagement, 
z.T. auch im Identitätsmanagement. So enthält die Patientenliste auch die 
Information, wer als behandelnder Arzt (ADAT) für einen Patienten beim For- 
schungsnetz erfasst ist und damit Zugriffsberechtigung auf die Daten eines 
Patienten im Klinischen Modul hat; im Studienmodul kann das analog gere- 
gelt werden, sofern dort nicht die Zugriffe ohnehin innerhalb der Studiensoft- 
ware zufrieden stellend abgesichert werden können. Diese ADAT sind daher 
zusammen mit den IDAT zu speichern, das heißt, die behandelnden Ärzte sind 
den Patienten zugeordnet. Die Arztdaten können auch aus einem (pseudo- 
nymen) Verweis aufeine separat geführte Arztdatenbank bestehen. Die Infor- 
mationen zur Zugriffsberechtigung auf einzelne Patientendatensätze befinden 
sich also auf dem Server der Patientenliste. Zu den OrgDAT gehören auch Zu- 
griffstickets, die aber nur temporär sind und daher nicht mit anderen Daten 
permanent gespeichert werden. 


Kontaktdaten 


Bei der Anmeldung eines Patienten bei der Patientenliste werden das Kenn- 
zeichen der meldenden Klinik und das Datum der Meldungübertragen undin 
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der Liste gespeichert (als Teil des ADAT-Satzes). Dies gilt auch dann, wenn 
einem Patienten bereits ein PID zugewiesen wurde und dieser einer neu mel- 
denden Klinik übermittelt wird. Kennzeichen und Datum werden nicht als 
Historie geführt, sondern durch die jeweils aktuelle Meldung überschrieben. 
Die Daten werden benötigt, damit die Stelle, welche die Patientenliste führt, 
erkennen kann, welche Klinik oder welcher Arzt informiert werden muss, 
wenn ein Patient ineinem der dafür vorgesehenen Anwendungsfälle depseudo- 
nymisiert wird. 


Dokumentation des Patientenwillens 


Zu MDAT (in welchem Modul auch immer) sowie zu Proben und daraus ge- 
wonnenen AnaDAT gehören OrgDAT mit den Informationen, wasim Rahmen 
der Patienteneinwilligung mit den zugehörigen Nutzdaten oder Proben ge- 
macht werden darf. Hierzu gehören auch Kontaktinformationen, also in der 
Regel ein Verweis auf den behandelnden Arzt (ADAT). Um dadurch nicht einen 
erleichterten Abgleich bei unbefugter Kenntnisnahme von IDAT und MDAT zu 
ermöglichen, sollen die ADAT allerdings nicht an mehreren unabhängigen 
Stellen mitgeführt werden; in der Regel ist die Patientenliste der geeignete 
Speicherort für die ADAT, während die direkten Angaben zur Regelung in der 
Patienteneinwilligung mit den MDAT bzw. AnaDAT zusammen gespeichert 
werden. 


Prozessunterstützung 


Hier fallen OrgDAT etwa als Auftragsbeschreibungen bei der Kommunikation 
(z.B. Befundanforderung und Rückmeldung) an: Auftraggeber und Adressat, 
Umfang des Auftrags, Datum, Fristen, Besonderheiten. OrgDAT benötigt man 
auch zur Definition des Status der zugehörigen Daten oder Proben (z.B. für 
Qualitätssicherung und Monitoring oder, bei Proben, als Hinweise auf Ali- 
quots). 


Qualitätssicherungsaspekte können es erforderlich machen, die Daten vor 
ihrer Überführung in die Forschungsdatenbank, d.h. vor der zweiten Stufe 
der Pseudonymisierung, zu prüfen (s. 6.8). In diesem Fall wird eine tempo- 
räre Datenbank TempDB eingerichtet. In dieser werden die Daten: PID, 
MDAT, OrgDAT, LabID, zusammen mit dafür nötigen OrgDAT kurzzeitig ge- 
speichert. Hier können sie in einem definierten kurzfristigen Zeitraum zur 
Qualitätssicherung genutzt werden. Bei der Pseudonymisierung und Über- 
tragung in die Forschungsdatenbank werden die Daten in der TempDB ge- 
löscht. 


OrgDAT werden in größerem Umfang im Biobankenmodul benötigt. Hier sind 
sie Begleitdaten einer Probe, die an unterschiedlichen Stellen entstehen und 
verwendet werden. So erfasst z.B. die Proben gewinnende Stelle die Probenart 
und gegebenenfalls die Informationen zu Probenentnahme und Präanalytik. 
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In der Probenbank werden die Begleitdaten einer Probe mit weiteren Informa- 
tionen wie z.B. den Umständen von Konservierung, Lagerung und Qualität 
gespeichert. Für weitere Details sei auf das Datenschutzkonzept für Biomate- 
rialbanken [2] verwiesen. 


Auch in „angehefteten Dokumenten“ können OrgDAT enthalten sein, z.B. in 
eingescannten Formularen oder in Röntgenbildern. Hier ist auf den Gehalt 
solcher Dokumente an identifizierenden Daten zu achten. (Z.B. würde die 
eingescannte Patienteneinwilligung den Namen des Patienten enthalten. 
Oder die in einem Ultraschallbild enthaltene Gerätekennung identifiziert den 
Arzt.) 


OrgDAT sollen, wie andere Daten auch, nur so lange gespeichert werden, wie 
sie für die definierten Zwecke benötigt werden. Temporäre OrgDAT wie Zu- 
griffstickets werden direkt nach Benutzung ohne Spuren gelöscht; in den zur 
Zugriffsüberprüfung mitgeführten Protokollen werden sie nicht benötigt. 
„Permanente“ OrgDAT sind solche, die zumindest eine Zeitlang benötigt wer- 
den; hier ist besonders auf mögliche Reidentifikationsrisiken zu achten. Das 
bedeutet insbesondere, dass die einzelnen Bestandteile der OrgDAT jeweils 
nur in einer einzigen Datenbank des Forschungsverbunds gehalten werden 
sollten. 


6.5.2.5 Zusammenwirken der Module 


Die Daten im Maximalmodell setzen sich zusammen aus den Daten der ein- 
zelnen Module. Auch die Datenflüsse wurden bereits weitgehend beschrieben: 
Das Zusammenspiel von Klinischem Modul und Studienmodul wurde in Ka- 
pitel 6.4 beschrieben, das Zusammenspiel von Studienmodul und Forschungs- 
modul in Kapitel 6.3. Weitgehend ähnlich dazu ist das Zusammenspiel von 
Klinischem Modul und Forschungsmodul, wobei die unterschiedliche Hand- 
habung von PID, und PID, (bzw. SIC) zu beachten ist. 


Das Zusammenspiel von Biobankenmodul und anderen Modulen wurde bereits 
im TMF-Datenschutzkonzept für Biomaterialbanken beschrieben und in Ka- 
pitel 5.4 zusammengefasst. 


Der Gebrauch von Pseudonymen in den verschiedenen Modulen wurde zum 
großen Teil in Kapitel 6.1, insbesondere Unterkapitel 6.1.1 beschrieben. 


6.5.3 Nutzer, Rollen und Rechte 


Nutzer, Rollen und Rechte sind auch im Maximalmodell in der Regel einem 
einzelnen Modul zugewiesen. Übergreifende Rollen sind im IT-Bereich nicht 
vorgesehen und auch nicht nötig. Im organisatorischen Bereich ist vor allem 
die übergreifende Verantwortung für die verbundweit gültigen Richtlinien 
(Policies) und - soweit modulübergreifend sinnvoll - Verfahrensanweisungen 
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(SOPs) zu nennen; diese Rollen werden aber in der Regel nicht in der IT-Struk- 
tur direkt abgebildet. 


Auch das Datenmanagement ist für die einzelnen Module, ja sogar Daten- 
banken, personell getrennt. Hat der Forschungsverbund zusätzlich einen zen- 
tral verantwortlichen Datenmanager oder CIO, ist darauf zu achten, dass die- 
ser nicht Daten zur Kenntnis erhält, die ihn zur Umgehung der Pseudonym- 
trennung oder gar zu einer Reidentifizierung befähigen. 


6.5.4 Verantwortlichkeiten 


Modulübergreifende Verantwortlichkeiten betreffen 


= die Definition zentraler Policies sowie 
= die Genehmigung von Datenweitergaben an Forschungsprojekte. 


Diese werden vom Ausschuss Datenschutz des Forschungsverbunds wahrge- 
nommen. Ansonsten ist die Verantwortung für die einzelnen Module organi- 
satorisch getrennt. 


6.5.5 Aspekte der Realisierung 


Die Anforderungen eines Forschungsverbunds im Maximalmodell an die IT- 
Infrastruktur sind so vielfältig, dass sie mit einem einzelnen zentral ausge- 
richteten EDC-System nicht zu realisieren sind. Die einzelnen Module sind in 
der Regel unabhängig voneinander mit geeigneten Softwaresystemen auszu- 
statten, die aber die benötigten Kommunikationsbeziehungen und zentralen 
Dienste unterstützen müssen. Ein Beispiel ist das in den Kapiteln 6.5.2 
und 6.1.2 b, c) beschriebene Zusammenwirken zwischen KDB, SDB und FDB. 


Auch die Gewinnung, Aufbereitung, Verwaltung und Bereitstellung von Bil- 
dern erfordert eigene Software-Systeme. Enthalten die generierten Datensät- 
ze dabei im Bildmaterial selbst Daten, welche Patienten, Institutionen und 
Geräte identifizieren und die für die Aufnahme in die Forschungsdatenbank 
geschwärzt werden müssten, so muss mit den Herstellern dafür eine Ände- 
rung ihrer Software ausgehandelt werden. Für die Betrachtung und Nutzung 
der Bilder sollten geeignete Viewer in die Software der jeweiligen Datenbank 
integriert sein. 


6.6 Organisatorische Regelungen 


Ein Datenschutzkonzept muss immer technische und organisatorische Rege- 
lungen umfassen. Der Grundsatz „Verhindern ist besser als Verbieten“ spricht 
dafür, möglichst weitgehende technische Vorkehrungen zur Unterstützung 
des Datenschutzes zu implementieren. Aber technische Maßnahmen können 
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nur in einem definierten organisatorischen Rahmen ihre Wirksamkeit ent- 
falten, der z.B. die Verantwortlichkeit klar regelt. Außerdem können techni- 
sche Maßnahmen nicht alle Datenschutzanforderungen umsetzen, sondern 
werden immer viele Lücken lassen; hier müssen organisatorische Absicherun- 
gen, z.B. Verbote, ergänzend eingreifen. 


Viele dieser organisatorischen Aspekte wurden in den bisherigen Kapiteln be- 
reits beschrieben. In diesem Kapitel werden die nötigen Rahmenbedingungen 
und Regelungen eines Forschungsverbundes zusammengefasst und systema- 
tisch dargestellt. 


6.6.1 Rechtsform - Forschungsverbund als juristische Person 


Für eine rechtssichere Umsetzung der Regeln zu Datenschutz und Datensicher- 
heit ist es unerlässlich, dass sich der Forschungsverbund den Status einer ju- 
ristischen Person gibt, siehe auch Kapitel 4.2.3. In dieser Eigenschaft kann er 
für zentrale Dienste Aufträge vergeben und mit Nutzungsordnungen verbin- 
den, welche die organisatorisch und datenschutzrechtlich relevanten Regel- 
werke darstellen. Die möglichen verschiedenen Rechtsformen wurden in dem 
Rechtsgutachten ausführlich analysiert, das die TMF im Rahmen des Bioma- 
terialbanken-Projektes hat anfertigen lassen und das den Kern der zugehöri- 
gen Publikation [23] bildet; eine zusammengefasste Darstellung ist in [2] ent- 
halten. Diese ist zu großen Teilen auch für medizinische Forschungsverbünde 
im Allgemeinen gültig und wird in entsprechend angepasster Umformulie- 
rung im Folgenden wiedergegeben. 


Im akademischen Umfeld entstehen Forschungsprojekte üblicherweise durch 
die persönliche Initiative eines oder mehrerer Wissenschaftler. Die Träger- 
schaft ist dann aber in der Regel nicht an diese Person gebunden, sondern an 
die entsprechenden Universitäten und Kliniken. Diese beschäftigen das Per- 
sonal für den Forschungsverbund und stellen Räumlichkeiten und Infrastruk- 
tur zur Verfügung. Die in diesen Einrichtungen vorhandene Infrastruktur ist 
einerseits ein Garant für die fachgerechte Durchführung eines Projekts, ins- 
besondere die qualifizierte Betreuung von Daten- und Probensammlungen, 
andererseits besteht unter dem steigenden Kostendruck der Universitäten und 
Kliniken aber auch die Gefahr, dass das Forschungsvorhaben nicht weiter 
unterstützt wird, wenn die Leitung der Universität bzw. Klinik andere fach- 
liche Schwerpunkte setzt oder der Initiator die Einrichtung wechselt. Auf 
Dauerhaftigkeit ausgerichtete Forschungsverbünde sind daher im Regelfall 
in einen privatrechtlichen Rahmen zu überführen und dort mittels einer ge- 
eigneten Rechtsträgerschaft zu verstetigen. 


Grundsätzlich kommt jede denkbare Rechtsform für den Träger eines For- 
schungsverbundes in Frage. Typischerweise eignen sich in der Wissenschaft 
die Rechtsformen eingetragener Verein, GmbH und privatrechtliche Stiftung 
besonders gut für einen Forschungsverbund. Die TMF bietet mit ihrer Arbeits- 


165 


6 Organisatorisches und technisches Konzept für Forschungsverbünde 


gruppe Netzwerkkoordination ein Austauschforum an, in dem dieses und wei- 
tere verwandte Themen diskutiert und Erfahrungen dazu weitergegeben wer- 
den können. 


6.6.2 Allgemeine Regelungen 


Satzung bzw. Gesellschaftervertrag legen die Grundlagen für die Organisation 
des Forschungsverbundes fest. Zu diesen Grundlagen gehören die Verantwort- 
lichkeiten und die Ermächtigungsgrundlagen für Geschäftsordnungen. Inner- 
halb der Satzung oder des Gesellschaftervertrages sind die grundsätzlichen 
Zuständigkeiten festzulegen. Die detaillierte Ausgestaltung kann im Rahmen 
zusätzlicher Geschäftsordnungen erfolgen. Dabei sollte eine Unterscheidung 
zwischen allgemeiner Geschäftsführung und Geschäftsführung für spezielle 
Aufgabenfelder bezüglich Datenschutz und Forschung vorgenommen werden. 
Derartige Statuten zur Festlegung von Zuständigkeiten innerhalb des For- 
schungsverbundes sind in jedem Fall erforderlich, auch wenn er sich in öf- 
fentlich-rechtlicher Trägerschaft befindet. Ferner schließt der Träger des For- 
schungsverbundes Verträge bzw. Vereinbarungen mit Datenzulieferern, ex- 
ternen Teilnehmern und Forschungsinstitutionen sowie allen Dienstleistern, 
die für den Forschungsverbund tätig werden. 


Wie der Verbleib des Vermögens eines Vereins muss auch der Verbleib der Daten 
des Forschungsverbunds in der Satzung oder im Gesellschaftervertrag geregelt 
sein. Für den in öffentlich-rechtlicher Hand befindlichen Forschungsverbund 
sollten schon zu Beginn Überlegungen angestellt werden, ob eine Übertragung 
der Daten an andere Institutionen oder eine Überführung in eine privatrecht- 
liche Organisation für einen späteren Zeitpunkt vorgesehen werden soll, und 
entsprechende Regelungen in den Statuten getroffen werden. Hierfür können 
z.B. je nach Anwendungsfall Fachgesellschaften oder auch Patientenverbän- 
de in Frage kommen. Jeder Forschungsverbund sollte in seinem Regelwerk 
Bedingungen für seine Auflösung festlegen. Für den Fall einer Übertragung 
ist die Zustimmungspflicht durch die Ethikkommission, möglicherweise auch 
eine zuständige Fachgesellschaft zu regeln. Werden andere Regelungen ge- 
wählt, müssen diese entsprechend begründet sein. 


6.6.3 Der Ausschuss Datenschutz 


Die Satzung des Forschungsverbundes sieht als wichtiges Gremium neben dem 
Vorstand den Ausschuss Datenschutz vor, der die Regelung aller mit dem 
Datenaustausch und dem Datenzugang zusammenhängenden Fragen verant- 
wortet. Die Satzung muss eine Besetzung dieses Gremiums vorsehen, die In- 
teressenkonflikten entgegenwirkt. Sollte der Forschungsverbund als juristi- 
sche Person auch über einen Datenschutzbeauftragten verfügen, sollte dieser 
möglichst auch Mitglied sein. Gleiches kann für Datenschutzbeauftragte der 
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im Forschungsverbund beteiligten Institutionen gelten. Der Ausschuss Daten- 
schutz wird durch den Vorstand des Forschungsnetzes mit folgenden Aufgaben 
berufen: 


= Erentscheidet mit Hilfe eines formalisierten Antragsprozesses über Art 
und Inhalt der Weitergabe medizinischer Daten oder wissenschaftlicher 
Proben an die Antrag stellenden Wissenschaftler. Mit der Bewilligung 
ist zu definieren 
der auf die Forschungsaufgabe zugeschnittene Datensatz, 
die anzuwendenden Selektionsfilter sowie 
der Zugang zu pseudonymisierten oder anonymisierten Daten. 
= Erentscheidet, ob die Benachrichtigung eines Patienten über die gewon- 
nenen Erkenntnisse durch den zuletzt behandelnden Arzt zulässig ist. 
Bei besonders schwierigen Fragen kann der Ausschuss Datenschutz eine 
Ethikkommission zur Beratung hinzuziehen. 
= Erverabschiedet die Regelwerke (Policies), die für jeden für Datenschutz 
und Datensicherheit relevanten Prozess zu formulieren sind, und ist ver- 
pflichtet, ihre Einhaltung im Forschungsnetz zu überprüfen und sie bei 
Bedarf fortzuschreiben. 


Im Einzelnen sind Aufgaben des Ausschusses Datenschutz in den Kapiteln 


4.2.3 (Verantwortlichkeiten), 

5.2.4 (Studienmodul - Nutzer, Rollen und Rechte), 

5.2.5 (Studienmodul - Verantwortlichkeiten), 

5.3.2.10 (Forschungsmodul - Ergebnisse mitteilen), 

5.3.5 (Forschungsmodul - Verantwortlichkeiten), 

6.1.5 (ID-Management - Verantwortlichkeiten), 

6.1.5.2 (ID-Management - Mehrere Patientenlisten an einem Standort?), 

6.2.4 (Rechtemanagement - Verantwortlichkeiten), 

6.3.2.9 (Kombinierter Einsatz von Studienmodul und Klinischem Modul - 

Machbarkeit einer Studie prüfen und Rekrutierung unterstützen), 

= 6.3.4 (Kombinierter Einsatz von Studienmodul und Klinischem Modul - 
Verantwortlichkeiten), 

= 6.4.2.8(Kombinierter Einsatz von Studienmodul und Klinischem Modul - 
Rekrutierung unterstützen), 

= 6.4.3(Kombinierter Einsatz von Studien- und Forschungsmodul - Nutzer, 
Rollen und Rechte), 

= 6.4.4 (Kombinierter Einsatz von Studien- und Forschungsmodul - Verant- 
wortlichkeiten), 

= 6.6.5.2(Organisatorische Regelungen - Regeln für die Datenverwendung) 
sowie 

= 6.7.4.2 (Kriterien der Verhältnismäßigkeit - Rechtemanagement) 


beschrieben. Die Entscheidungen des Gremiums sollten nach dokumentierten 
Kriterien oder eine entsprechenden Leitlinie getroffen werden. 
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6.6.4 Informationelle Gewaltenteilung 


Informationelle Gewaltenteilung bedeutet, dass Daten so auf verschiedene 
Datenspeicher mit wechselseitig nicht weisungsbefugter Administration auf- 
geteilt werden, dass die einzelnen Teile nicht zu einer unbefugten Reidenti- 
fikation von betroffenen Personen führen können. Beispiele hierfür sind das 
Identitätsmanagement, das unabhängig von den im Forschungsverbund vor- 
handenen Modulen betrieben wird, oder auch die Aufteilung eines For- 
schungsverbunds in unabhängige Module. 


Erleichternd sei bemerkt, dass verschiedene Einrichtungen einer Universitäts- 
klinik wechselseitig nicht weisungsbefugt sind, so dass etwa eine Ansiedlung 
zweier Datenbanken und Dienste am Klinikrechenzentrum und einem Medizin- 
informatischen Institut in der Regel die Anforderungen an die informationelle 
Gewaltenteilung erfüllt. Je nach Beurteilung der Gefährdungslage eines For- 
schungsverbundes, siehe Kapitel 6.7 (Kriterien der Verhältnismäßigkeit), kann 
aber auch die Einschaltung eines externen Datentreuhänders als wirksamerer 
und deutlicherer Ansatz zur informationellen Gewaltenteilung angesehen wer- 
den; hierzu siehe auch Kapitel 4.2.5 (Elektronische Datentreuhänderschaft). 


Einzelne Aspekte der informationellen Gewaltenteilung werden beschrieben 
in den Kapiteln 


= 4.2.5 (Elektronische Datentreuhänderschaft), 

4.6 (Grundprinzipien datenschutzgerechter Lösungen), 

5.3.5 (Forschungsmodul - Verantwortlichkeiten), 

5.4.3 (Biobankenmodul - Daten und Datenflüsse), 

6.1.5 (ID-Management - Verantwortlichkeiten), 

6.2 (Rechtemanagement - Einleitung), 

6.2.4 (Rechtemanagement - Verantwortlichkeiten), 

6.2.5 (Rechtemanagement - Aspekte der Realisierung), 

6.4.4 (Kombinierter Einsatz von Studien- und Forschungsmodul - Verant- 
wortlichkeiten), 

6.7.3 (Kriterien der Verhältnismäßigkeit - Modellvarianten) sowie 
6.7.4 (Kriterien der Verhältnismäßigkeit - Beispiele). 


6.6.5 Regelwerke 


Zur Konkretisierung der datenschutzrechtlichen Vorschriften, des Strafgesetz- 
buches, der Berufsordnung und der sonstigen berufsethischen Normen sind 
Regelwerke zu schaffen, auf die alle Beteiligten vertrauen können und an die 
das medizinisch behandelnde und forschende Personal in der Nutzung der 
Systeme rechtsverbindlich gebunden wird: 
1. Füreinen Patienten geschieht dies im Rahmen des Behandlungsvertrags 
mit den Ärzten oder der Klinik sowie durch die Aufklärung und eine in- 
formierte Einwilligung, Daten für den Forschungsverbund zur Verfü- 
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gung zu stellen. Gesunde Probanden sind analog aufzuklären und um 
eine Einwilligung zu bitten. 

2. Für behandelnde Ärzte und klinisches Personal gelten in erster Linie die 
Regeln, die von den jeweiligen Kliniken unter der Verantwortung des 
leitenden Arztes vorgegeben sind. 

3. Auch das forschende medizinische und nicht-medizinische Personal kann 
an die Regeln der jeweils verantwortlichen Klinik gebunden werden. 
Manche der Tätigkeiten, wie die Erhebung und Weiterleitung von For- 
schungsdaten, überschreiten die Grenzen der Klinik und müssen an Re- 
gelwerke gebunden sein, die für den gesamten Forschungsverbund ver- 
bindlich sind. Für die rechtliche Verbindlichkeit ist die Regelung der Ver- 
antwortlichkeiten durch eine geeignete Rechtsform, siehe Kapitel 6.6.1 
oben, wesentliche Voraussetzung. 

4. Für die zentralen Dienste - z.B. Führung der Datenbanken, Patienten- 
liste, Qualitätssicherung und Pseudonymisierungsdienst - sind geeig- 
nete Nutzungsordnungen und SOPs mit den datenschutzrechtlich rele- 
vanten Regelwerken aufzustellen und Verträge zu schließen, welche alle 
Beteiligten rechtsverbindlich an die Regelwerke binden. 


Insgesamt müssen die Regelwerke so gestaltet sein, dass sich aus ihnen die 
nötigen Rechtedefinitionen für ein wirksames Rechtemanagement (Kap. 6.2) 
ableiten lassen. 


6.6.5.1 Verträge 


Der Forschungsverbund als juristische Person schließt Verträge, um die Be- 
teiligten an die Regelwerke zu binden: 


1. mit den dokumentierenden Ärzten und ihren Mitarbeitern zur Festle- 
gung der Anforderung an die Forschungsdaten und ihre Überlassung an 
den Forschungsverbund; 

2. mit den Wissenschaftlern zu den Verfahren, die ihnen Zugang zu den 
Forschungsdaten verschaffen und sie an die regelgerechte Verwendung 
von Daten und biologischen Proben binden; 

3. mit den zentralen Diensten und beteiligten Rechenzentren zur Regelung 
der Aufgaben und Pflichten, die mit dem Auftrag zur Datenverarbeitung 
verbunden sind. In den Verträgen soll auch die Unabhängigkeit von 
Datenbank-Administratoren vom forschenden Personal sichergestellt 
werden. Ebenso muss die wechselseitige Unabhängigkeit der verschie- 
denen Datenbank-Administratoren voneinander gewährleistet sein. 


6.6.5.2 Regeln für die Datenverwendung 


Der Wissenschaftler darf die zur Verfügung gestellten Daten ausschließlich 
im Rahmen der Zielsetzung seiner Arbeit und der durch das Forschungsnetz 
ausgesprochenen Genehmigung verwenden. Die Weitergabe der exportierten 
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Daten an Dritte ist generell untersagt. Für die wissenschaftliche Zusammen- 
arbeit über die Grenzen des Forschungsnetzes hinaus sind getrennte und spe- 
zifische Regelungen mit dem Ausschuss Datenschutz des Forschungsnetzes 
herbeizuführen. 


6.6.5.3 Sicherheitspolicy - Nutzungsordnungen 


Als Regelwerke für die zentralen Dienste stellt der Forschungsverbund Nut- 
zungsordnungen bereit, die das Sicherheitspotenzial der beschriebenen tech- 
nischen Instrumente im organisatorischen Bereich verankern. Die Betreiber 
und die Nutzer werden über die notwendigen Maßnahmen und Abläufe infor- 
miert und zu einem planmäßigen, regelgerechten Handeln verpflichtet. 


6.6.5.4 Zusammenstellung von Musterdokumenten 


Ein Forschungsverbund benötigt insgesamt eine nicht unbeträchtliche Zahl 
von datenschutzrechtlich relevanten Regel- und Vertragswerken. Dazu gehö- 
ren u.a. Policies, Verpflichtungserklärungen, SOPs und Service Level Agree- 
ments (SLA). Ein Überblick über die bei der TMF vorhandene Sammlung von 
einschlägigen Musterdokumenten ist im Anhang zu finden. 


6.6.6 Einwilligungsmanagement 


Der sachgerechte Umgang mit den Patienteneinwilligungen erfordert dann 
einige technische Überlegungen, wenn die dort getroffenen Regelungen sich 
bei verschiedenen Patienten oder Probanden unterscheiden können 
(s. Kap. 4.2.2 „Datenschutzrechtliche Grundlagen“ - „Grenzen von Einwilli- 
gungsszenarien“). Die Festlegungen, die mit der Einwilligung getroffen wer- 
den, müssen bei der jeweiligen Verwendung der Daten auf möglichst unkom- 
plizierte Weise zur Verfügung stehen. 


Zunächst wird die Einwilligung in Papierform vom aufnehmenden Arzt ein- 
geholt und sollte in dieser Form dort auch aufbewahrt werden; bei großen und 
langzeitigen Forschungsverbünden kommt auch die Hinterlegung bei einem 
Datentreuhänder in Betracht. Falls es keine Variationsmöglichkeiten bei der 
Einwilligung gibt, wie es bei klinischen Studien oft der Fall ist, ist darüber 
hinaus kein Einwilligungsmanagement erforderlich. 


Anders sieht es aber aus, wenn patientenindividuelle Festlegungen zu berück- 
sichtigen sind. Bei jeder beabsichtigten Datenverwendung muss in jedem 
Einzelfall feststehen, was erlaubt ist. Daher muss ein Feld der OrgDAT dafür 
vorgesehen werden, detaillierte Informationen zur Einwilligung abzubilden, 
den Wunsch nach Wissen oder Nichtwissen und bei einer abgestuften Ein- 


36 Anhang siehe unter http://www.tmf-ev.de/datenschutz-leitfaden 
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willigungsmöglichkeit etwa die gewählte Stufe (s. Kap. 4.4.2). Auch Aus- 
schlüsse müssen dort festgehalten werden, was in den meisten Fällen ein 
Freitextfeld erforderlich macht. Diese Erweiterung der OrgDAT ist im Klini- 
schen, Studien-, Forschungs- und Biobankenmodul relevant. 


Zu beachten ist, dass das Mitführen dieser Daten in Einzelfällen ein erhöhtes 
Reidentifizierungsrisiko bedeuten kann; z.B. könnte, wenn in einer For- 
schungsdatenbank und in einer Probenbank eine einzigartige identische Ein- 
willigungsregelung festgehalten wird, die Trennung der Pseudonyme unwirk- 
sam werden. Für eine solche Situation ist die Einrichtung eines zentralen 
Einwilligungsmanagements, etwa kombiniert mit dem Identitätsmanage- 
ment, zu empfehlen. 


Hinweise zum Einwilligungsmanagement sind in den vorangegangenen 
Kapiteln 


= 5.1.2.1(Klinisches Modul - Patienten in das Klinische Modul aufnehmen), 

= 5.1.2.10 (Klinisches Modul - Rekrutierung unterstützen), 

= 5.2.2.1(Studienmodul - Patienten aufklären und Einwilligung einholen), 

= 5.3.2.4 (Forschungsmodul - Machbarkeit einer Studie prüfen), 

= 6.3.2.2 (Kombinierter Einsatz von Studien- und Klinischem Modul - 
Patienten in Klinisches Modul oder Studienmodul aufnehmen), 

= 6.4.2.1 (Kombinierter Einsatz von Studien- und Forschungsmodul - 
Patienten in das Studienmodul aufnehmen), 

= 6.4.2.3 (Kombinierter Einsatz von Studien- und Forschungsmodul - 
Datenqualität im Studienmodul sichern), 

= 6.4.2.7 (Kombinierter Einsatz von Studien- und Forschungsmodul - 
Machbarkeit einer Studie prüfen), 

= 6.4.2.8 (Kombinierter Einsatz von Studien- und Forschungsmodul - 
Rekrutierung unterstützen), 

= 6.5.2.1 (Maximalmodell - Patienten aufnehmen) sowie 

= 6.5.2.4 (Maximalmodell - Organisatorische Daten - Dokumentation des 
Patientenwillens) 


zu finden. Unproblematisch in technischer Hinsicht ist die Rücknahme einer 
Einwilligung. Wird eine Einwilligung aber nachträglich abgeändert, müssen 
die entsprechenden Änderungen natürlich an allen einschlägigen Stellen der 
OrgDAT nachgetragen werden. 


6.6.7 Besonderheiten bei der Umsetzung 


Für den Aufbau der organisatorischen Strukturen sind nach den Grundsätzen 
der Verhältnismäßigkeit verschiedene Varianten möglich; siehe hierzu die 
detaillierten Kriterien in Kapitel 6.7. Als Beispiel sei ein Vorschlag für den Aus- 
schuss Datenschutz, insbesondere bei seltenen Erkrankungen, erwähnt: Die- 
ser muss in kleineren Verbünden nicht ein gesondertes Gremium sein, son- 
dern könnte vom Vorstand bzw. Leitungsgremium unter Einbeziehung des 
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Datenschutzbeauftragten verkörpert werden. Dies ist insbesondere dann an- 
gemessen, wenn im Verbund, z.B. in einem Register, nur vorher festgelegte 
Auswertungen vorgesehen sind. 


Die von der TMF als Muster angebotenen Vorlagen für Verträge usw. sind im 
Anhang zusammengestellt und werden online angeboten?. 


Für das Kontaktmanagement könnte der Einsatz kommerzieller CRM-Softwa- 
re von Interesse sein; Erfahrungen hiermit liegen im TMF-Umfeld aber noch 
nicht vor. 


6.7 Kriterien der Verhältnismäßigkeit 
6.7.1 Redundanz und Aufwand 


Datenschutzmaßnahmen sind unter der Maßgabe der Verhältnismäßigkeit 
zu sehen. Auf technischer Ebene können Sicherheitsmaßnahmen sehr auf- 
wändig, damit aber auch sehr teuer gestaltet werden. Unbeliebter Aufwand 
entsteht insbesondere durch die Schaffung von Redundanzen. Redundanz ist 
aber ein wichtiger Aspekt in Sicherheitskonzepten, wenn es um hochsensib- 
le Daten geht: Wenn eine Sicherheitsmaßnahme unwirksam wird, soll eine 
„sichere Rückfallposition“ erreicht werden. Unwirksam kann eine Sicher- 
heitsmaßnahme aus verschiedenen Gründen werden, beispielsweise: 


= nicht regelkonformes Verhalten einzelner Beteiligter, 

= unbefugte Kooperation verschiedener Beteiligter oder eines Beteiligten 
mit einem Externen, 

= Ausfall einer technischen Komponente oder 

= Kompromittierung einer technischen Komponente. 


Beispiele für Redundanzen von Bedeutung für dieses Datenschutzkonzept 
sind: 
= Kombination eines Verbots (z.B. in einer vertraglichen Regelung) mit 
einer technischen Barriere (z.B. durch Zugriffskontrolle) oder Überprü- 
fung (z.B. durch Protokollierung von Handlungen), 
= mehrfache unabhängige Pseudonymisierung, 
= Zugriffsschranken für Ärzte trotz der dreifachen Absicherung der ärzt- 
lichen Schweigepflicht durch die Androhung straftechtlicher, zivilrecht- 
licher und standesrechtlicher Folgen oder 
= trotz Pseudonymisierung verschlüsselte Übermittlung von Daten über 
das Internet. 


Verhältnismäßigkeit bedeutet in der Regel nicht, dass ein kontinuierlicher 
Sicherheitsparameter mehr oder weniger hoch angesetzt wird, sondern dass 
Redundanzen vermehrt oder abgebaut werden. 


37 http:/www.tmf-ev.de/datenschutz-leitfaden 
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Unter den für medizinische Forschungsverbünde vorgesehenen Maßnahmen 
führt eine sehr feingliedrige Trennung der Verantwortung für einzelne Funk- 
tionen der Daten-, Proben- und Rechteverwaltung zu solchen erwünschten 
Redundanzen. Sie stößt aber dort auf Grenzen der Angemessenheit oder sogar 
der Durchführbarkeit, wo Forschungsprojekte von relativ kleinen Organisa- 
tionseinheiten durchgeführt werden. Ein „kleines“ Forschungsnetz kann mit 
wenig Redundanz in technischen und organisatorischen Datenschutzmaß- 
nahmen betrieben werden, wenn es als Angriffsziel weniger attraktiv ist, we- 
niger Angriffspunkte bietet, weniger „Geheimnisträger“ hat, organisatorisch 
übersichtlich ist und mit nur wenigen Komponenten auskommt, in deren 
Zusammenspiel sich Sicherheitslücken verbergen könnten. 


Grundsätzlich sind bei allem Aufwand immer Fälle einer unberechtigten 
Reidentifizierung konstruierbar. Es muss hier der mögliche Schaden mit dem 
Aufwand ins Verhältnis gesetzt werden. Daher sind Abwägungen zu treffen 
zwischen dem Umfang der gespeicherten Daten, dem Risiko einer Reidenti- 
fizierung, der Komplexität der Organisation und dem möglicherweise be- 
stehenden Interesse für einen Übergriff. Für alle Forschungsverbünde gilt aber, 
dass mangelnde Ressourcen kein Argument für mangelhafte Datenschutz- 
maßnahmen sein können. Insbesondere müssen sich die Zuordnungen von 
Pseudonymen zu Personen (Identitätsmanagement) und die Forschungsdaten 
mit ganz wenigen Ausnahmefällen in getrennter Verantwortung befinden. 


6.7.2 Parameter für die Risikoabschätzung 


Die für die Risikoabschätzung relevanten Aspekte eines medizinischen For- 
schungsverbundes werden hier in vier Dimensionen gegliedert, die nicht not- 
wendig unabhängig voneinander sind. Es kann keine einfache Formel geben, 
die aus konkreten Werten für die Parameter die Höhe des Risikos berechnet. 
Manche Parameter können sich sogar gegenläufig auswirken, indem sie an 
einer Stelle das Risiko erhöhen, es aber an anderer Stelle senken. Sinn dieser 
Parameterliste ist vielmehr, füreinen konkreten Forschungsverbund potenziel- 
le Schwachstellen aufzudecken. Eine Auswirkung der Risikoabschätzung könn- 
te z.B. sein, dass für den einen Forschungsverbund redundante Sicherheits- 
maßnahmen als notwendig angesehen werden, für einen anderen dagegen die 
Redundanz verringert werden kann; oder dass eine Abschwächung an einer 
Stelle durch zusätzliche Maßnahmen an anderer Stelle kompensiert wird. 


6.7.2.1 Risikodimension „Größe des Forschungsverbundes“ 


Diese wird durch folgende vier Parameter ausgedrückt: 


1. Fallzahl: Es ist wohl schwierig, hier explizite allgemein gültige Grenzen 
zu ziehen. Ein Register oder eine Forschungsdatenbank mit wenigen 
100 Patienten ist sicher als klein, eines mit über 10.000 Patienten sicher 
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als groß einzustufen. Es gibt auch gegenläufige Effekte: Mit der Fallzahl 
steigt die Attraktivität für einen unbefugten Zugriff auf den Daten- 
bestand des Forschungsverbunds; andererseits sinkt das individuelle 
Reidentifizierungsrisiko aus MDAT und AnaDAT, da es weniger einzig- 
artige Merkmalskombinationen gibt. 

Einzugsbereich und Anzahl der Daten- oder Probenquellen: Ein Forschungsverbund, 
der deutschlandweit von Hunderten von Arztpraxen Daten sammelt, ist 
sicher anders zu bewerten als eine Probensammlung in einem Klinik- 
labor, die nur Blutproben von Patienten einer bestimmten Fachabteilung 
enthält. Eine einfachere Logistik bietet weniger Angriffspunkte; bei we- 
niger Datenquellen bestehen bessere Möglichkeiten zur dezentralen Or- 
ganisation, z.B. der Patientenliste, was je nach Umständen auch ein 
Sicherheitsgewinn sein kann. 


. Finanzielle Ausstattung und Zahl der Beschäftigten: Ein sparsam gefördertes öf- 


fentliches Forschungsprojekt ohne kommerzielle Ambitionen oder Aus- 
sichten hat sicher wenig Möglichkeiten, komplizierte Schutzmaßnah- 
men umzusetzen; dadurch steigt die Wahrscheinlichkeit von Sicher- 
heitslücken. Hier ist eine besonders sorgfältige Prüfung unter dem 
Gesichtspunkt der Verhältnismäßigkeit nötig; mangelnde finanzielle 
Ausstattung darf kein Argument zur Absenkung des Datenschutz- 
standards sein. 


. Komplexität: Mit steigender Komplexität wächst die Wahrscheinlichkeit 


für unbeabsichtigte Wechselwirkungen, Sicherheitslücken und Daten- 
lecks. 


6.7.2.2 Risikodimension „Brisanz des Forschungsverbunds“ 


Diese Risikodimension ist hoch mit der potenziellen Attraktivität für einen 
Angreifer korreliert und kann durch folgende sechs Parameter beschrieben 
werden: 


1. Art der Erkrankung: In unserer Gesellschaft werden z.B. psychiatrische 


Erkrankungen und HIV als stigmatisierend angesehen. Hier spielt auch 
die öffentliche Beachtung des Forschungsprojekts eine Rolle, da sie sich 
unmittelbar auf das Vertrauen der Patienten auswirkt. Krankheiten 
mit hoher Morbidität könnten z.B. für Krankenversicherer interessant 
sein. 


. Vollständigkeit der Erfassung: Je vollständiger die Erfassung, desto größer die 


Wahrscheinlichkeit, dass eine bestimmte Person erfasst ist, desto ge- 
ringer aber auch die Wahrscheinlichkeit für einzigartige Merkmalskom- 
binationen. Beispielhafte Fragen: Wird nur eine (zufällig ausgewählte) 
Kohorte erfasst oder handelt es sich um ein Register mit dem Anspruch 
auf Vollzähligkeit? Werden alle Probanden mit einer seltenen Erkran- 
kung erfasst? Werden alle Probanden aus einer bestimmten Region er- 
fasst, vielleicht alle Patienten einer Klinik? 
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3. Umfang der Datenerhebung: Je umfangreicher die gespeicherten Datensätze 
sind, desto mehr unterscheiden sich die Einzelfälle, desto höher ist also 
das Reidentifizierungsrisiko. Beispielhafte Fragen: Werden nur wenige 
medizinische Daten erfasst? Werden nur wenige Analysedaten erzeugt, 
z.B. keine genetischen Daten? Welche soziodemografischen Daten wer- 
den erfasst? Werden Angaben erfasst, die Angehörige betreffen? 

4. Forschungsziele: Diese bestimmen die Brisanz eines Forschungsvorhabens 
wesentlich mit. Beispielhafte Fragen: Sind genetische Analysen vorge- 
sehen, die jaauch Angehörige der Probanden oder ganze ethnische Grup- 
pen betreffen? Dadurch steigt sowohl die Attraktivität für einen unbe- 
fugten Zugriff samt der Zahl der dadurch Betroffenen als auch das Re- 
identifizierungsrisiko. Sollen Forschungsergebnisse in wichtigen Fällen 
an die Patienten oder Probanden rückgemeldet werden? Sind Langzeit- 
beobachtungen der Patienten geplant? In diesen beiden letzteren Fällen 
muss der „Rückweg“ zum Patienten durch geeignete Pseudonymisierung 
offen gehalten werden, was u.U. zusätzliche Angriffspunkte schafft und 
das Reidentifizierungsrisiko erhöht. 

5. Art der gespeicherten Daten oder des gelagerten Materials: Wie einfach ist damit 
eine Reidentifizierung möglich? Zu berücksichtigen sind z.B. soziode- 
mographische Daten, feingranulare Anamnesedaten, charakteristische 
Bilddaten von offensichtlichen Missbildungen, Proben oder extrahierte 
DNA. 

6. Einzigartigkeit von Daten oder Proben, z.B. durch eine Monopolstellung des 
Forschungsverbunds in einem bestimmten Bereich. 


6.7.2.3 Risikodimension „Organisation des Forschungsverbunds“ 


Die hier beschriebenen neun Parameter wirken sich ganz wesentlich auf die 
Beurteilung der Verhältnismäßigkeit aus und sind z.T. relativ leicht zu beein- 
flussen, wenn das Vorhaben sorgfältig geplant wird. 


1. Beschlagnahmesicherheit: Man muss nach Dierks [20] davon ausgehen, dass 
eine rechtlich beschlagnahmefeste Aufbewahrung zentral gespeicherter 
Daten bei verteilter Datenerhebung nurin wenigen Ausnahmefällen mög- 
lich sein wird. Andererseits bedingt das Schutzprinzip der informationel- 
len Gewaltenteilung (vgl. Kap. 4.6), dass entweder medizinische oder 
identifizierende Daten außerhalb der behandelnden Einrichtung aufbe- 
wahrt werden müssen und so der Beschlagnahme unterliegen können. 

2. Präzision der Aufklärung und Einwilligung: Je weniger bestimmt die Forschungs- 
ziele benannt werden können, desto mehr ist durch Verstärkung der 
Sicherheitsmaßnahmen oder weitergehende Informationstrennung zu 
kompensieren. 

3. Verteiltheit der Zulieferung (vgl. auch Kap. 6.7.2.1 Nr. 2): Hier gibt es gegen- 
läufige Effekte: mit der Verteiltheit steigt einerseits die Informations- 
trennung, andererseits auch die Zahl der Angriffspunkte. 
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4. Verteiltheit der Datenspeicherung und Probenlagerung. Auch hier gilt: Mit der 
Verteiltheit erhöht sich die Informationstrennung und steigt gleich- 
zeitig die Zahl der Angriffspunkte. 

5. Dauer der Datenspeicherung und Probenlagerung: Das Risiko von Angriffen ist 
direkt proportional zu dieser Dauer. 

6. Umfang geplanter Nacherhebungen. Ist eine erneute oder gar häufig wieder- 
holte Kontaktierung der Patienten oder Probanden vorgesehen? Das er- 
fordert eine komplexere Logistik und erhöht die Zahl der Angriffspunkte 
sowie die Gefahr von Datenlecks und unbefugter oder sogar unbeabsich- 
tigter Reidentifizierung. 

7. Qualität der Policies und SOPs sowie der vertraglichen Regelungen mit Externen: Hier 
sind Abwägungen zwischen technischen und organisatorischen Maßnah- 
men zu treffen und mögliche oder nötige Redundanzen zu diskutieren. 

8. Vertrauenswürdigkeit einer datenspeichernden oder -verarbeitenden Stelle: Z.B. ist 
eine Bundesbehörde, deren Mitarbeiter strengen und öffentlich kontrol- 
lierbaren Regeln unterliegen, u.U. vertrauenswürdiger im Sinne eines 
Datenschutzkonzepts als ein privatwirtschaftlich organisierter Betrieb, 
dessen Regeln sich bei einer Geschäftsübernahme kurzfristig ändern kön- 
nen oder dessen Datenbestand im Konkursfall auf nicht vorhersagbare 
Weise weitergegeben wird. 

9. Vorgesehene Monitoring- oder anderweitige Kontrollverfahren: Eine institutiona- 
lisierte und genau festgelegte Nachprüfung aller Verfahrensschritte (z.B. 
ein Monitoring-Verfahren) kann mit anderen Datenschutzmaßnahmen 
redundant sein und diese eventuell ersetzen. 


6.7.2.4 Risikodimension „Verbindung mit externen Daten“ 


Hierfür sind zwei Parameter relevant, die kaum beeinflusst, nicht einmal voll- 
ständig kontrolliert werden können: 


1. Abgleichmöglichkeit oder -pläne mit anderen Datenquellen oder Registern: Hier ist 
einem eventuell erhöhten Reidentifizierungsrisiko durch technische 
oder organisatorische Maßnahmen zu begegnen. 

2. Vorhandensein von Referenzdateien: Solche Dateien, z.B. mit genetischen Fin- 
gerabdrücken oder soziodemographischen Daten, können zu einer un- 
mittelbaren Reidentifizierung von Daten des Forschungsverbundes füh- 
ren, so dass die Zusammenführung mit technischen oder organisatori- 
schen Maßnahmen verhindert werden muss; beim Datenexport sind 
entsprechende Fragen zu stellen und Regelungen zu treffen. 


Die Möglichkeiten zum externen Datenabgleich können niemals vollständig 
und für alle Zukunft beurteilt werden; sie betreffen aber genau das Hauptan- 
liegen eines Datenschutzkonzepts, das Reidentifizierungsrisiko zu vermeiden. 
Daher ist bei diesen Parametern eine besonders vorsichtige Einschätzung not- 
wendig. Nicht erreichbar ist in der Regel k-Anonymität [34]. Abzuwägen sind 
die Möglichkeiten zur vollständigen, faktischen oder nur formalen Anonymi- 
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sierung - für die Abgrenzung und Problematik der Verwendung dieser Begriffe 
sei auf das Glossar in diesem Werk verwiesen - und ihre Konsequenzen bzw. 
kompensatorische Maßnahmen. 


6.7.3 Modellvarianten 


Bei der Beschreibung der Module und ihrer Komponenten wurden an verschie- 
denen Stellen bereits Modellvarianten und abweichende Organisationsfor- 
men, sogar Zusammenlegungen von im Standard-Konzept getrennten Funk- 
tionen oder Datenspeichern als Möglichkeiten aufgeführt. BeiAbweichungen 
vom Standardkonzept und insbesondere Vereinfachungen der technischen 
und organisatorischen Maßnahmen ist immer eine Einzelfallprüfung unter 
Anwendung der Kriterien erforderlich. 


Erleichternd für die Zulässigkeit von Abweichungen ist die Etablierung eines 
Monitoring- oder Audit-Verfahrens. Solche Verfahren gelten ohnehin als die 
beste Methode, Regelverstöße von Insidern aufzudecken [38]. 


Stufen für die Datentrennung sind: 


1. getrennte Datenbank-Tabellen, 
2. getrennte Datenbanken, 

3. getrennte Datenhoheit sowie 
4. externer Datentreuhänder. 


Stufe 1istnur bei monozentrischen klinischen Studien oder im Behandlungs- 
zusammenhang angemessen und in dieser Form heute oft in Krankenhaus- 
informationssystemen vorzufinden; sie schützt im wesentlichen davor, dass 
ein Systemverwalter Identitätsdaten und medizinische Daten zusammen 
sieht, ohne es zu wollen. Außerdem lässt sich für alle anderen Datenbank- 
nutzer auf dieser Basis leicht eine differenzierte Zugriffsregelung aufbauen. 


Als Beispiel für Stufe 2 ist bei institutionsinterner Langzeitforschung (Beispiel: 
Datawarehouse im Krankenhaus) der Aufbau einer getrennten Datenbank mit 
einfacher Pseudonymisierung ausreichend, obwohl es sich vom Charakter der 
Datensammlung her um eine Forschungsdatenbank handelt. Ebenso kann 
Stufe 2 für eine kleine institutionsinterne Biomaterialbank angemessen sein 
[2]. Diese Stufe der Datentrennung schützt zusätzlich vor einem Angreifer, der 
Zugang zu einer der Datenbanken hat, z.B. auf einem unzulänglich gelösch- 
ten ausrangierten Datenträger. 


Stufe 3 ist der empfohlene Normalfall für die meisten medizinischen For- 
schungsverbünde und führt bei geeigneter organisatorischer Regelung zu 
einer angemessenen informationellen Gewaltenteilung. 


Stufe 4 kann bei besonders sensiblen Erkrankungen verhältnismäßig sein, 
etwa um dem Misstrauen von Patienten oder Patientenverbänden gegen die 
medizinische Forschung entgegenzuwirken. 
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Das Maximalmodell ist angemessen, wenn in einem großen Forschungs- 
verbund vielfältige Projekte aller Art mit komplexer Datenlogistik durch- 
geführt werden sollen. Hierfür relevante Kriterien sind: 


= Notwendigkeit der langfristigen (Pseudonymisierung) Aufbewahrung 
von Daten oder Proben (über Behandlungs- oder Studienkontext hinaus), 
langfristige Forschungsvorhaben wie Spätfolge- oder Lebensqualitäts- 
studien, Kohortenstudien und 

= größere Patienten- oder Probandenzahlen (z.B. keine seltene Erkrankung). 


In der Mehrheit der Fälle ist allerdings eine „kleinere“ Lösung angemessen. 
Viele Forschungsverbünde, z.B. Netzwerke für seltene Erkrankungen, benöti- 
gen nur eine Klinische Datenbank, eventuell in Kombination mit einer Bio- 
materialbank. Verbünde, bei denen im Wesentlichen epidemiologische Fragen 
verfolgt werden, können mit einer Forschungsdatenbank auskommen. Hier 
sind jeweils die bei der Beschreibung der Einzelmodule vorgeschlagenen Lö- 
sungen mit eventuell nötigen, sachgerecht begründbaren Modifikationen an- 
gemessen. Bei der Wahl des passenden Modells spielen - auch im Sinne des 
Datenschutzes - Überlegungen zur Praktikabilität eine wichtige Rolle. 


6.7.4 Beispiele 


Um die in den vorigen Kapiteln auf einer eher abstrakten Ebene angestellten 
Überlegungen für die praktische Anwendung nutzbar zu machen, werden hier 
zahlreiche konkrete Anwendungsbeispiele vorgestellt. Entscheidend ist bei 
allen Varianten, dass das Reidentifizierungsrisiko nicht erhöht wird. 


6.7.4.1 Identitätsmanagement 


Ist die Aufteilung des ID-Managements in Patientenliste und Pseudonymisie- 
rungsdienst nötig? Wird für die Patientenliste ein externer Treuhänder ein- 
gesetzt, kann dieser den Pseudonymisierungsdienst auch zusätzlich überneh- 
men, wenn dieser auf einem eigenen Rechner mit räumlicher und personeller 
Trennung von der Patientenliste organisiert wird. Bei PID-Vergabe an der 
Datenquelle - bei kleineren Projekten sinnvoll - kann der PID als Pseudonym 
dienen. Ein zusätzlicher Pseudonymisierungsdienst ist dann verzichtbar. 


Darf ein PID an der Datenquelle bekannt sein? Ja, wenn er dort erzeugt wird. 
Bei klinischen Studien ist das so vorgesehen (SIC oder evtl. PID,). Auch wenn 
der Forschungsverbund kein Klinisches Modul betreibt, sondern seine Daten 
direkt im Forschungsmodul speichert, ist die Kenntnis des PID an der Quelle 
unschädlich, wie auch im „alten“ Modell B vorgeschlagen [1]. 


Weitere Hinweise zu einzelnen Punkten finden sich wie folgt: 


= Soll die Patientenliste zentral oder dezentral geführt werden? Siehe 
Kapitel 6.1.5.1. 
= Wo soll die Patientenliste angesiedelt sein? Siehe Kapitel 6.1.5.2. 
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Wo soll der Pseudonymisierungsdienst angesiedelt sein? Siehe 
Kapitel 6.1.5.4. 
Soll ein SIC zentral oder dezentral erzeugt werden? Siehe Kapitel 6.1.1.1. 


6.7.4.2 Rechtemanagement 


Die folgenden Fragestellungen zum Rechtemanagement sind zu berücksich- 
tigen: 


Sollen Arzt-Identitäten (ADAT) pseudonymisiert werden? Argumente 
hierzu stehen in einem zusätzlichen Hinweis in Kapitel 6.1.1.2. 
Können die ADAT bei den MDAT gespeichert werden? Das istin der Regel 
(vgl. Kap. 6.1.5.1) nicht ratsam, da es Hinweise für eine Reidentifizierung 
geben kann. Eine Ausnahme wäre denkbar, wenn jeder meldende Arzt 
für sehr viele Patienten zuständig ist, z.B., wenn nur große Schwer- 
punktkliniken Daten liefern. 

Sollen Nutzdaten (MDAT) durch das Identitätsmanagement oder anihm 
vorbei geleitet werden? (vgl. Kap. 6.1.2 b). Das ist vom Datenschutz aus 
gesehen - bei adäquater Implementierung - äquivalent und kann daher 
nach Praktikabilität und Performanz entschieden werden. 

Ist für das Nutzer- und Rechtemanagement ein Verzeichnisdienst not- 
wendig? Das wurde in den Kapiteln 6.2.1.2 und 6.2.5.1 diskutiert. 
Welche Rollenkonflikte können bei Ärzten im Forschungsverbund auf- 
treten und wie soll man mit ihnen umgehen? Hierzu macht das Kapi- 
tel 6.2.3.3 einige Aussagen. 

Wo soll das Rechtemanagement angesiedelt sein? Dazu sei auf Kapi- 
tel 6.2.4 verwiesen. Unabhängig von der technischen Implementierung 
unterliegt es der zentralen Verantwortung unter Kontrolle des Ausschus- 
ses Datenschutz. 

Ist die Nutzung einer PKI im medizinischen Forschungsverbund anzu- 
raten? Dazu sei auf Kapitel 6.2.5.2 verwiesen. 

Welche Werkzeuge sollen zur Spezifikation von Richtlinien und Re- 
geln eingesetzt werden? Dazu wurden in Kapitel 6.2.5.4 Hinweise ge- 
geben. 

Welche Werkzeuge sollen zur Rechteverwaltung eingesetzt werden? 
Gesichtspunkte dazu wurden in Kapitel 6.2.5.5 erörtert. 


6.7.4.3 Bilddaten 


Für die Ansiedlung von Bilddaten gibt es verschiedene Varianten: 


zum Klinischen Modul, wenn eine Referenzbefundung mit möglicher 
Rückwirkung auf den Patienten vorgesehen ist; 

zum Studienmodul, wenn Bilder direkt in einer klinischen Studie benö- 
tigt werden, insbesondere zur Referenzbefundung (Befundung von Bil- 
dern durch Referenzradiologen); 
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= zum Forschungsmodul, wenn die Bilder nur zu Vergleichszwecken bei 
der Befundung oder als Referenzmaterial für Forschung und Lehre die- 
nen sollen - nur bei qualitätsgesicherten Bildern (oder Daten); 

= ineinem Extra-Modul, wenn übergreifende Zwecke verfolgt werden und 
die Ansiedlung in einem der anderen Module ein zu hohes Reidentifi- 
zierungsrisiko bedeutet. 


Hauptkriterium für eine eigenständige im Gegensatz zu einer integrierten 
Bilddatenbank ist die Erkennbarkeit einer Person im Bildmaterial, wenn die- 
ses außerhalb des Behandlungszusammenhangs gespeichert wird; hierzu sei 
auch auf die Diskussion von Bilddaten in den Kapiteln 6.5.1 und 6.5.2.3 hin- 
gewiesen. 


Eine weitere Abwägung der Verhältnismäßigkeit ist erforderlich, wenn Bild- 
daten für die weitere Nutzung zugänglich gemacht werden sollen (Referenz- 
material, wissenschaftliche Auswertung). Für die Frage allerdings, ob der 
Export von Bildern einem direkten Zugriffsrecht vorzuziehen ist, sind neben 
dem Datenschutz auch technische Argumente zu berücksichtigen (Dateigrö- 
ße); oft, insbesondere zu Referenzzwecken, ist schon wegen der Dateigröße 
oder der Performanz ein Export nicht sinnvoll. Es soll aber auch verhindert 
werden, dass mit exportierten Daten eine externe Datenbank aufgebaut wird. 
Daher ist es meistens besser, einen Online-Zugriff für „Forschungsprojekte“ 
einzurichten, der über passende Zugriffsregelungen gestaltet wird. 


6.7.4.4 Biomaterialbanken 


Beispiele zu Abwägungen der Verhältnismäßigkeit im Zusammenhang mit 
Biomaterialbanken im Forschungsverbund sind im generischen Datenschutz- 
konzept für Biomaterialbanken beschrieben [2]. 


6.7.4.5 Sonstiges 


Für den Zugriff auf Forschungsdaten durch externe Wissenschaftler bis hin 
zu einem Public-Use-File ist die Hierarchie von Möglichkeiten - in Anlehnung 
an die Regelungen des statistischen Bundesamtes - zu berücksichtigen, die 
in Kapitel 5.3 vorgestellt wurde. In der Regel werden für Public-Use-Files nur 
sehr stark vergröberte Daten bereitgestellt werden können, mit denen man 
Fragen beantworten kann, die für den Forschungsverbund selbst keine Rele- 
vanz mehr besitzen, die aber im öffentlichen Interesse sein könnten. 


Sollen Daten beim Versand über das Internet zusätzlich verschlüsselt werden, 
auch wenn sie pseudonymisiert sind? Ja, denn einerseits kann das Reidenti- 
fizierungsrisiko pseudonymisierter Daten bei unbekannten Angreifern nicht 
eingeschätzt werden. Andererseits wird durch die verschlüsselte Übermittlung 
die Pseudonymisierung keinesfalls überflüssig, da sie ja den Personenbezug 
vor dem Empfänger schützen soll. Außerdem würde die Pseudonymisierung 
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die Daten auch noch schützen, wenn das Verschlüsselungsverfahren, das für 
die Kommunikation verwendet wird, kompromittiert wird; selbst wenn ein 
Angreifer die Daten in verschlüsselter Form gespeichert hätte, wären sie dann 
immer noch vor ihm geschützt. 


Beim Studienmodul lassen sich die Varianten „zentrales Datenmanagement“ 
auf der einen, „separate Studiendatenbank für jede Studie“ auf der anderen 
Seite und entsprechend die Verwendung von PID, bzw. nur SICs vom Daten- 
schutzgesichtspunkt aus beide zufrieden stellend umsetzen, siehe die Diskus- 
sion in Kapitel 5.2. Die Entscheidung für eine der Varianten kann also unter 
Praktikabilitätsgesichtspunkten getroffen werden. 


Wann die Einrichtung einer temporären Datenbank zur Qualitätssicherung 
angemessen ist und was dabei zu beachten ist, wird in Kapitel 6.8 beschrie- 
ben. Entscheidend ist hier, dass es sich um ein etabliertes Verfahren handelt, 
das innerhalb des Forschungsverbundes reguliert ist, und dass keine länger- 
fristige Datenspeicherung vorgesehen ist; d.h., die temporäre Zusammen- 
führung von sonst getrennten Daten wird durch Regelungen kompensiert. 


6.7.5 Seltene Erkrankungen 


Da Netzwerke für seltene Erkrankungen ein wichtiger Schwerpunkt der For- 
schungsförderung sind, diese aber einerseits durch geringe Ressourcen, an- 
dererseits durch extrem kleine Fallzahlen und vielfältige Fragestellungen ge- 
kennzeichnet sind, werden Empfehlungen für solche Forschungsverbünde 
hier explizit zusammengefasst. 


In Europa bezeichnet man eine Krankheit als selten, wenn sie weniger als 
einen unter 2000 Menschen im Laufe seines Lebens trifft [39]. Das bedeutet, 
dass in Deutschland auch über längere Zeiträume hinweg oft nur wenige hun- 
dert Fälle einer bestimmten Krankheit auftreten. Von den ungefähr 30.000 
bekannten Krankheiten werden 5.000 bis 7.000 zu den seltenen Erkrankungen 
gerechnet. Zählt man diese zusammen, sind sie allerdings kein seltenes Phä- 
nomen; in Deutschland leiden rund 4 Millionen Menschen an einer seltenen 
Erkrankung. Häufig handelt es sich um schwere Krankheiten, die eine auf- 
wändige Behandlung und Betreuung erfordern, für die Betroffenen und ihre 
Familien mit hoher Belastung verbunden sind und oft schon im Kindes- oder 
Jugendalter mit dem Tod enden. Ein typisches Beispiel ist der kindliche Leber- 
tumor, der im Zeitraum zwischen 1980 und 2004 nur bei 382 Kindern im Alter 
von bis zu 15 Jahren auftrat. Für die schwere aplastische Anämie waren es im 
gleichen Zeitraum in der gleichen Population 280 Fälle [40]. 


Bei vielen seltenen Erkrankungen ist die ihnen zugrunde liegende Ursache 
ungeklärt. Man nimmt an, dass bei etwa 80% genetische Veränderungen ur- 
sachlich sind, allerdings sind die jeweils betroffenen Gene häufig noch nicht 
identifiziert. Für einige Erkrankungen gibt es bisher noch nicht einmal An- 
sätze zur Erforschung der Krankheitsursachen [7]. 
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Folglich ist in vielen Fällen die medizinische Versorgung der Kranken noch 
unbefriedigend. Um aber in der klinischen Forschung valide Ergebnisse zu 
erzielen, sind Patientenzahlen erforderlich, die einzelne Fachleute und Zen- 
tren kaum erreichen können. Zur Verbesserung der Versorgung der Patienten 
ist es daher unumgänglich, die Forschung zur Klärung der Krankheitsursa- 
chen sowie zur Entwicklung, Validierung und Etablierung von Diagnosever- 
fahren und Therapiekonzepten zu konzentrieren und zu intensivieren [39]. 
Gleiches gilt für die epidemiologische Forschung, insbesondere wenn Varian- 
ten einer Erkrankung untersucht und multifaktorielle Ursachen geklärt oder 
regionale Unterschiede und zeitliche Trends erkannt werden sollen. Sofern 
Behandlungsdokumentationen und Proben nicht systematisch und flächen- 
deckend gesammelt werden, besteht keine Chance, eine seltene Krankheit 
erfolgreich zu erforschen. Daher ist die Vernetzung zwischen behandelnden 
und forschenden Ärzten sowie medizinischen Einrichtungen eine wesentliche 
Voraussetzung für den wissenschaftlichen Fortschritt. 


Als Musterbeispiel können hier die großen Erfolge im Bereich der Pädiatri- 
schen Onkologie und Hämatologie dienen [41], die durch eine solche systema- 
tische Rückkopplung der Forschung in die Versorgung erreicht wurden. Die 
im Netzwerk vorhandene diagnostische und therapeutische Spitzenkompe- 
tenz für die jeweilige Krankheit steht für die Behandlung aller teilnehmenden 
Patienten zur Verfügung, so z.B. die zentrale Referenzdiagnostik (Labor, Pa- 
thologie, Radiologie) oder Konsiliardienste durch die Studienleitung für The- 
rapie-Entscheidungen. Andererseits profitieren diese führenden Fachleute 
durch die wesentlich verbesserte Datenlage und die Zuarbeit aller Behandler 
für die weitere Forschung. 


Im vitalen Interesse der Patienten selbst liegtes auch, einen möglichst großen 
Kreis von Fachleuten einzubeziehen. Und für sie ist es ebenfalls wichtig, dass 
ihre Daten und Proben nicht in abgegrenzten Projekten „vergeudet“ werden, 
sondern in einem gemeinsamen Pool möglichst effizient verwertet werden. 


Bei den meisten seltenen Erkrankungen (dies gilt insbesondere für sehr selte- 
ne Erkrankungen) ist die rechtlich gebotene Trennung zwischen den Daten 
zur Behandlung, zur klinischen Forschung und zur epidemiologischen For- 
schung kontraproduktiv für alle Beteiligten: Die Behandlungsdaten sind für 
die Forschung ebenso wichtig, wie die Forschungsdaten die Behandlung 
unterstützen können, und jeder Patient ist immer auch zugleich für die For- 
schung von Bedeutung. Auch die Patienten selbst haben oft ein großes Inter- 
esse an Forschungsprojekten, da neue Behandlungsoptionen aufgrund der 
notwendigen systematischen Evaluation nur im Rahmen einer Studie zur Ver- 
fügung stehen. In einer solchen Situation kann die Dokumentation im Rah- 
men eines Forschungsprojekts einer elektronischen Patientenakte gleichkom- 
men, die auch für künftige Auswertungen genutzt werden kann. 
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Zusammengefasst sind die Versorgungs- und Forschungsziele eines For- 
schungsverbundes für seltene Erkrankungen: 


= Koordination der Forschung zu einer Erkrankung mit Akkumulation aus- 
reichender Patientenzahlen, um statistisch sinnvolle Auswertungen, 
die Untersuchung von Sonderfällen und Varianten, von regionalen 
Unterschieden und zeitlichen Trends sowie genetische Analysen und die 
Rekrutierung für künftige klinische Studien zu ermöglichen. 

= Langzeitbegleitung der Patienten durch eine möglichst vollständige und 
standardisierte Dokumentation. 

= Optimierung der Therapie und der Betreuung durch den Aufbau eines 
Behandlungsnetzes unter Beteiligung der führenden Fachleute (hori- 
zontale Vernetzung), Konsultationssystem, Erarbeitung von Leitlinien 
zur Diagnostik und Therapie, Kooperation der Fachzentren untereinan- 
der und mit niedergelassenen Ärzten, die in der Regel sehr selten oder 
erstmalig mit einer seltenen Erkrankung konfrontiert sind. 

= Sammlung von Referenzfällen. 

= Förderung der direkten Kommunikation von Experten untereinander so- 
wie mit weniger erfahrenen Ärzten, z.B. in einem Expertenforum 
(s. Kap. 5.1.2.5). 

= Bereitstellung von Informationen für Patienten (vertikale Vernetzung) 
über Ursachen, Diagnostik, Verlauf, Therapiemöglichkeiten; Einbezie- 
hung von Selbsthilfegruppen, insbesondere auch Förderung der Patien- 
ten-Community. 


Eine Vollerfassung von Patienten mit bestimmten Behinderungen oder lebens- 
bestimmenden Erkrankungen ist aber - auch vor dem Hintergrund der ge- 
schichtlichen Erfahrungen in Deutschland - gesellschaftspolitisch heikel. 
Eine mögliche Stigmatisierung ist, jenach Krankheitsbild, nicht auszuschlie- 
ßen. Erschwerend kommt hinzu, dass viele seltene Erkrankungen mit auf- 
fälligen, nicht zu verbergenden körperlichen Erscheinungsformen einherge- 
hen, die eine wirksame Anonymisierung oder Pseudonymisierung der Daten 
erschweren, z.B. körperliche Fehlbildungen. 


Aus diesen Rahmenbedingungen ergeben sich folgende Überlegungen für 
einen auch aus Sicht des Datenschutzes adäquaten Aufbau eines Forschungs- 
verbundes für seltene Erkrankungen: 


Grundsätzlich ist ein solcher Forschungsverbund ein typischer Anwendungs- 
fall für ein Klinisches Modul, wobei hier zweckmäßigerweise nur eine einzige 
zentrale Klinische Datenbank (meist als Register bezeichnet) aufgebaut wer- 
den sollte. In der Regel wird aber auch eine zugehörige Biomaterialbank be- 
nötigt. Das Zusammenspiel dieser beiden Komponenten ist im generischen 
Datenschutzkonzept für Biomaterialbanken [2] beschrieben. Üblich und sinn- 
vollist es dabei, eine Gruppe verwandter Krankheiten in einem gemeinsamen 
Forschungsverbund zu untersuchen. 
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Wichtig und in der Regel von allen Beteiligten gewünscht ist gerade bei selte- 
nen Erkrankungen die enge Kooperation mit Patientenorganisationen und 
Selbsthilfegruppen, soweit diese schon vorhanden sind; andernfalls könnte 
es gerade ein Ziel des Forschungsverbunds sein, solche Gruppen ins Leben zu 
rufen und zu unterstützen. Da oft Kinder die Betroffenen sind, ist zunächst 
die Einwilligung der Eltern relevant, die, sobald das Kind die nötige Einsichts- 
fähigkeit erlangt hat, durch dessen eigene Einwilligung zu ersetzen ist. In 
den (aller Erfahrung nach seltenen [7]) Fällen, wo diese verweigert bzw. zu- 
rückgezogen wird, sind geeignete Anonymisierungsmaßnahmen durchzu- 
führen, oder gar, wenn eine wirksame Anonymisierung unmöglich ist, die 
entsprechenden Falldaten zu löschen. 


Aufjeden Fall sollte die Patientenliste unabhängig von der Datenbank geführt 
werden; sie könnte auch die LabIDs verwalten, wenn diese nicht ohnehin von 
den Laboren vergeben werden. Hierfür bilden sich zur Zeit im Umfeld derTMF 
zentrale Dienstleister an Universitätskliniken heraus, die auch die Patienten- 
listen verschiedener Forschungsverbünde verwalten; wichtig dabei ist aber, 
dass es genügend viele davon gibt und somit eine angemessene Verteilung der 
damit verbundenen informationellen Gewalt gewährleistet ist. Die Frage, ob 
es sinnvoll ist, um die Zugehörigkeit einer Person zu einer bestimmten Diag- 
nosegruppe zu verschleiern, die Patientenlisten mehrerer seltener Erkrankun- 
gen zusammenzufassen, wurde in Kapitel 6.1.5.2 diskutiert und negativ be- 
antwortet 


Die Pseudonymisierung beim Export von Daten zur statistischen Auswertung 
istin diesem Modell eine Funktion der Klinischen Datenbank, ebenso wie die 
Funktionen zur „Rekrutierung“, d.h. der Gewinnung von Patienten für neue 
klinische Studien. Die Gestaltung dieser Funktion wird in den Kapiteln 5.1.2.9 
und 5.1.2.10 beschrieben. 


Software-Produkte „von der Stange“, die zum Betrieb einer Klinischen Daten- 
bank oder eines Registers, insbesondere für seltene Erkrankungen, direkt ge- 
eignet sind, sind bisher nicht erhältlich. Hier besteht noch Entwicklungsbe- 
darf, entsprechende Arbeiten und Projekte sollten von der TMF koordiniert 
werden. Dies kann, ebenso wie die zentrale Bereitstellung von Dienstleis- 
tungskapazität für den Betrieb von Patientenlisten, wesentlich dazu beitra- 
gen, der Ressourcenknappheit der Forschungsverbünde für seltene Erkran- 
kungen zumindest teilweise zu begegnen. 


6.8 Qualitätssicherung 


Unter Qualitätssicherung wird in diesem Text die Sicherstellung der Daten- 
qualität verstanden. Andere Aspekte des Qualitätsmanagements wie Struk- 
tur-, Prozess- und Ergebnisqualität sind zwar für medizinische Forschungs- 
verbünde auch von Bedeutung, spielen für das Datenschutzkonzept aber kei- 
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ne unmittelbare Rolle. Die Datenqualitätssicherung dagegen muss notwen- 
digerweise oft mit personenbezogenen Daten arbeiten und ist daher 
datenschutzrelevant. 


Damit die medizinische Forschung aus den verfügbaren Daten valide Ergeb- 
nisse gewinnen kann, müssen die Daten hohe Anforderungen an Genauigkeit, 
Vollständigkeit und Korrektheit erfüllen. Daher ist die Datenerhebung und 
Datenverarbeitung in medizinischen Forschungsverbünden in der Regel mit 
einer oder mehreren Stufen der Qualitätssicherung verbunden; deren Umfang 
und Komplexität sind für das einzelne Projekt durch das Studiendesign und 
die Normen, denen es sich unterwirft, definiert, für den gesamten For- 
schungsverbund durch das Zusammenspiel der Module und Komponenten. 
Dabei geht esimmer um die Ergänzung und Korrektur fehlerhafter, fehlender, 
unvollständiger und unplausibler Daten. Bei epidemiologischen Studien set- 
zen die Forscher selbst bei der Studienplanung die Anforderungen und Ver- 
fahren fest. Bei klinischen Studien sind die Anforderungen in „Standard Ope- 
ration Procedures“ (SOPs) durch generelle Richtlinien festgelegt. 


Typische Datenfehler sind 


= Schreibfehler, wie Zahlendreher, 

= Einträge in falschen Datenfeldern, 

m fehlende Einträge, 

= inhaltliche Irrtümer, wie Fehldiagnosen. 


Manche dieser Fehler können automatisch durch die Erfassungssoftware ab- 
gefangen werden: Ein Monat 13 existiertz.B. nicht; eineZahlim Namensfeld 
muss ein Irrtum sein. Fehldosierungen von Medikamenten können zumindest 
einen Warnhinweis auslösen. Schreibfehler in Namen oder Fehldiagnosen 
sind dagegen automatisch kaum zu erkennen. Daher ist neben möglichst gu- 
ten Fehlererkennungsalgorithmen der Software in der Regel auch eine Nach- 
kontrolle durch Menschen nötig. Hierfür ist zunächst das Datenmanagement 
der jeweiligen Datenbank zuständig, je nach Herkunft oder geplanter Verwen- 
dung der Daten sind weitere Kontrollen mit mehr oder weniger aufwändigen 
Verfahren notwendig. 


Die Prozesse der Qualitätssicherung sind in den allgemeinen Richtlinien des 
Forschungsverbundes zu beschreiben und in Form von SOPs genau festzule- 
gen. Insbesondere ist dort anzugeben, wo personenbezogene Daten benötigt 
werden und wie mit diesen umgegangen wird. Hinweise dafür geben die fol- 
genden Kapitel. 


6.8.1 Klinisches Modul 


Im Behandlungskontext werden Daten primär zu Abrechnungszwecken erho- 
ben; eine darüber hinaus gehende Dokumentation ist wegen des damit ver- 


185 


6 Organisatorisches und technisches Konzept für Forschungsverbünde 


bundenen Arbeitsaufwandes in der Regel nicht möglich. Das führt dazu, dass 
z.B. Nebendiagnosen, die für dieAbrechnung keine Rolle spielen, nicht notiert 
werden; möglicherweise wird sogar die Hauptdiagnose im Hinblick auf den 
Erlös „optimiert“. Solche Daten sind für die medizinische Forschung nahezu 
unbrauchbar; nicht einmal grobe Krankheitsstatistiken können damit zuver- 
lässig erstellt werden. Sollen die Daten für Auswertungen irgendwelcher Art 
verwendet werden, ist hier bereits eine erste Stufe der Qualitätssicherung von- 
nöten. Daher sind direkt bei der Dateneingabe im Klinischen Modul eines For- 
schungsverbunds qualitätssichernde Maßnahmen einzuführen, die als Neben- 
effekt auch die klinische Befundkommunikation verbessern. Solche Maßnah- 
men bestehen aus Algorithmen zur Überprüfung der Vollständigkeit und Plau- 
sibilität der klinischen Daten, die unmittelbar bei der Eingabe durch die 
Erfassungssoftware ausgeführt werden, sowie aus anschließenden im Behand- 
lungsprozess vorhandenen qualitätssichernden Maßnahmen. Da Online-Ein- 
gabe und Abfrage ausschließlich durch den behandelnden Arzt erfolgen kann, 
sind asynchrone Mechanismen zur Datenüberprüfung zunächst entbehrlich, 
ein Rückgriff auf die Klinik (oder Rückfrage-Management) beim Export von 
Forschungsdaten ist oft nicht notwendig, insbesondere, wenn die Klinische 
Datenbank die einzige zentrale Datenbank des Forschungsverbunds ist, wie es 
z.B. bei chronischen oder seltenen Erkrankungen häufig zutrifft und im Mo- 
dell A des alten generischen TMF-Datenschutzkonzept beschrieben wurde [1]. 


Das Studiendesign eines versorgungsnahen Registers oder einer Beobach- 
tungsstudie kann aber auch ein geeignetes Monitoring-Verfahren einschlie- 
ßen, um verbleibende Fehler zu eliminieren. Ferner ist ein Rickmeldeverfah- 
ren notwendig, wenn die Daten für andere Module oder Projekte exportiert 
und dort Fehler entdeckt werden. Im Klinischen Modul kann also auch, wie 
ineinem Studienmodul (s.u.), ein ausgefeiltes Qualitätssicherungsverfahren 
mit Rückfrage-Management, Monitoring und Auditing vorgesehen werden. 


6.3.2 Studienmodul 


In klinischen Studien, bei denen durch die Studienplanung eine bestimmte 
Datenqualität verbindlich vorgeschrieben ist, ist ein komplexes, zu Beginn 
der Studie detailliert festgelegtes Qualitätssicherungsverfahren die Regel. 
Dieses besteht aus konsiliarischer Beratung, Rückfrage-Management, Moni- 
toring, Safety-Management und Audit. 


Für die Nutzung in klinischen Studien nach AMG entsprechen fertig entwi- 
ckelte Softwaresysteme üblicherweise hinsichtlich Funktionsumfang, Quali- 
tätssicherung und Dokumentation den umfangreichen gesetzlichen Vorgaben 
bzw. den Kriterien der Good Clinical Practice (GCP). Hierzu gehört z.B. die 
Funktion eines umfassenden Audit-Trails, in dem alle Änderungen an Daten- 
sätzen nachvollziehbar gespeichert werden und der dem Monitor zugänglich 
sein muss. 


186 


6.8 Qualitätssicherung 


6.8.2.1 Konsiliarische Beratung 


Ein wichtiges Element bei klinischen Studien ist die Begleitung der Behand- 
lung durch einen erfahrenen Studienarzt. Alle Daten des Patienten werden 
durch ihn bezüglich einer richtigen und adäquaten Behandlung begutachtet. 
Der Studienarzt kann den behandelnden Arzt gegebenenfalls konsiliarisch 
beraten. Wenn diese Beratung vom Studienarzt oder anderem ärztlich geführ- 
ten Personal mit Patientenkontakt durchgeführt wird, geschieht dies im Re- 
gelfallin Kenntnis der Identität des betroffenen Patienten. In jedem Fall steht 
die konsiliarische Beratung in engem Zusammenhang mit der Behandlung 
des Patienten. Hierbei anfallende Datenänderungen sind in der Studiendaten- 
bank zu dokumentieren. 


6.8.2.2 Rückfrage-Management 


Als zweite Stufe der Qualitätssicherung klinischer Forschungsdaten (nach der 
Eingabekontrolle) ist ein Rückfrage-Management vorgesehen. Dieses wird 
vom Datenmanagement ausgelöst und ist mit einer Kommunikation pseudo- 
nymer Daten verbunden, wobei ein Kommunikationspartner die Zuordnung 
des Pseudonyms (hier SIC oder PID,) zum Patienten kennt und der andere im 
Regelfall nicht. So können im zentralen Datenmanagement Rückfragen zu 
den Daten eines Patienten formuliert werden, ohne dass die Identitätsdaten 
des Patienten hierfür benötigt werden. Wenn diese Rückfragen vom Studien- 
arzt oder anderem ärztlich geführten Personal mit Patientenkontakt bearbei- 
tet werden, geschieht dies im Regelfall in Kenntnis der Identität des betroffe- 
nen Patienten. 


6.8.2.3 Monitoring 


In einer dritten Stufe werden Monitore eingesetzt, die die eingegebenen Daten 
vor der Auswertung noch einmal auf Vollständigkeit und Plausibilität über- 
prüfen. Dabei wird auch der Dateneingabevorgang hinterfragt und die Über- 
einstimmung mit den Quelldaten optisch nachvollzogen. Daher müssen Mo- 
nitore sowohl Zugang zu den von ihnen zu überprüfenden zentralen Patien- 
tendaten wie auch zu den Quelldaten in den beteiligten Zentren und behan- 
delnden Einrichtungen haben. Da dieser Nutzerkreis außerhalb des 
Behandlungsverhältnisses steht und gleichzeitig auch Zugriff auf personen- 
bezogene Unterlagen mit Klartext-Identitätsdaten hat, müssen Patienten vor 
Aufnahme in die Studie darüber aufgeklärt werden und können nur nach einer 
entsprechenden Einwilligung teilnehmen. 


6.8.2.4 Safety-Management 


Im Rahmen der allgemeinen Qualitätssicherung in klinischen Studien werden 
alle unerwarteten Studienereignisse je nach ihrem Schweregrad an den Spon- 
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sor und an die zuständigen Behörden gemeldet. Hierbei gibt es behördliche 
Verpflichtungen gemäß dem AMG. In der Regel erfolgen diese Meldungen 
ausschließlich mit pseudonymisierten Daten. Eine Überprüfung der Quell- 
daten erfolgt dann im Rahmen des allgemeinen Monitoring. 


6.8.2.5 Audit 


Als Audit werden allgemein Untersuchungsverfahren bezeichnet, die dazu 
dienen, Prozessabläufe hinsichtlich der Erfüllung von Anforderungen und 
Richtlinien zu bewerten. Die Audits werden im Regelfall von speziell hierfür 
geschulten, unabhängigen und externen Fachleuten durchgeführt. Im Kon- 
text von medizinischen Forschungsprojekten, insbesondere klinischen Stu- 
dien ist ein Audit eine weitere Stufe der Qualitätssicherung. Hierbei werden 
sämtliche Prozesse auf Übereinstimmung mit Studienplan, Richtlinien, SOPs 
und anderen verbindlichen Festlegungen - auch hinsichtlich Datenschutz- 
maßnahmen - geprüft. Ein Zugriff auf konkrete Daten ist, im Gegensatz zum 
Monitoring, allenfalls stichprobenartig nötig; ein Personenbezug muss dabei 
nicht offenbart werden. 


6.8.3 Forschungsmodul 


Wird eine Forschungsdatenbank aus einer ausreichend qualitätsgesicherten 
Klinischen Datenbank oder einer Studiendatenbank gespeist, kann manin der 
Regel eine genügende Datenqualität annehmen. Kommen Daten auf anderem 
Wege in die Forschungsdatenbank, ist vor der Übernahme der Informationen 
ein vorgeschaltetes Qualitätssicherungssystem erforderlich, welches im Feed- 
back zur Klinik oder Datenquelle Mängel in der Plausibilität und Vollständig- 
keit der Daten minimiert. Dieses muss besondere Datenschutzanforderungen 
erfüllen, da viele qualitätssichernde Prozesse nach einer Pseudonymisierung 
der Daten nicht mehr sinnvoll durchgeführt werden können und daher nur 
mit einem Personenbezug möglich sind (s.u.). Kompliziert wird das Verfahren 
durch die Möglichkeit, dass spätere Daten zum gleichen Fallin der Regeleinen 
neuen Qualitätssicherungsprozess für den Gesamtdatensatz auslösen. 


Zusätzlich zu diesen Routine-Verfahren ist auch ein Korrektur-Prozess vorzu- 
sehen, der später nachgereichte Korrekturen übernimmt, die von der Daten- 
quelle, aus einem anderen Modul des Forschungsverbunds oder von Betroffe- 
nen selbst in Wahrung seines datenschutzgesetzlichen Berichtigungsrechts 
angestoßen werden. 


6.8.3.1 Allgemeine Anforderungen an das Verfahren 
(bei Daten aus dem Behandlungszusammenhang) 


Die Qualitätssicherung erfordert einen unbehinderten Austausch von Infor- 
mationen zwischen dem dokumentierenden Arzt, der die Daten beim Patien- 
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ten und aus seiner Kranken- und Behandlungsgeschichte erhebt, und der 
prüfenden Stelle. Die prüfende Stelle kann die Stelle sein, welche die Daten 
sammelt und speichert, oder eine dazwischen geschaltete Stelle, die das 
Monitoring übernimmt; es kann aber auch eine eigene, unabhängige Stelle 
dafür eingerichtet werden. Sie wird im Folgenden als QS-Service bezeichnet. 


Liegt die Datenquelle im Behandlungszusammenhang, so gibt der dokumen- 
tierende Arzt bzw. die erhebende Klinik die Daten mit einem Patienteniden- 
tifikator (PID) weiter, der auch vom QS-Service gespeichert und benutzt wird, 
um den entsprechenden Datensatz in der Kommunikation mit der Klinik zu 
identifizieren. Die datenschutzrechtliche Zulässigkeit beruht darauf, dass 
dem QS-Service ein Zugriff auf die entsprechenden IDAT, die in der Klinik lie- 
gen, verwehrt wird. Sie entspricht damit einem bei der Speicherung von For- 
schungsdaten in Studienzentren oder übergeordneten Forschungsdatenban- 
ken weithin genutzten Standard. 


6.8.3.2 Workflow für die Qualitätssicherung von der Behandlung 
in die Forschungsdatenbank 


Zusammengefasst läuft folgender Prozess ab, in dem die verschiedenen Zu- 
stände der Daten begrifflich unterschieden werden (s. Abb. 22): 


= Der QS-Service erhält von der Klinik die mit dem PID verknüpften „Er- 
hebungsdaten“. 

= Er benötigt auch den Vergleich mit früher erhobenen Daten, die bereits 
in der Forschungsdatenbank gespeichert sind; diese werden als „Kon- 
textdaten“ temporär zur Verfügung gestellt. Dazu übergibt er eine Liste 
der aktuellen PIDs an den Pseudonymisierungsdienst, der diese in eine 
entsprechende PSN-Liste umwandelt. 


Klinik/ Pseudonymi- PSN, Forschungs- 
MDAT (verschlüsselt) DB 


Arzt sierungsdienst 


PSN + MDAT 


Erhebungsdaten Kontextdaten 
PID. MDAT PID PID. MDAT (verschlüsselt) 


Qualitätssicherungs-Service 


Mm 


a 


Kombination von Erhebungs- und Kontextdaten 
(temporär) 


PID + MDAT 


Abb. 22 Der QS-Service übernimmt Erhebungsdaten und Kontextdaten. 
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= Der Pseudonymisierungsdienst sendet die PSN-Liste an die Forschungs- 
datenbank. 

= Die Forschungsdatenbank sendet die zugehörigen Kontextdaten (mit 
dem öffentlichen Schlüssel des QS-Service verschlüsselt) an den Pseud- 
onymisierungsdienst. 

= DerPseudonymisierungsdienst ersetzt die PSN wieder durch die entspre- 
chenden PIDs und sendet diese, zusammen mit den immer noch ver- 
schlüsselten Kontextdaten an den QS-Service zurück. 

= Der QS-Service führt in Kommunikation mit der Klinik die Qualitätssi- 
cherung für die mit PID gekennzeichneten Daten durch. Die Behand- 
lungseinrichtung kann dabei auf die Patientenakte und die Original- 
Dokumentation zugreifen. 

= Der QS-Service übergibt die korrekten oder korrigierten Erhebungsdaten 
über den Pseudonymisierungsdienst der Forschungsdatenbank, wo sie 
als Forschungsdaten dauerhaft gespeichert werden. 

= Danach wird der temporäre Bestand an Erhebungsdaten und Kontext- 
daten gelöscht. 


Der QS-Service führt für seine Aufgaben eine temporäre Datenbank, die in 
sequentiellen Verfahren mit neuen Erhebungsdaten gefüllt wird, dieim Rah- 
men der Qualitätssicherung laufend abgearbeitet werden. Plausible oder durch 
Korrektur plausibel gemachte Datensätze werden nach Abschluss der Teilpro- 
zesse in Forschungsdaten transformiert und aus der temporären Datenbank 
gelöscht. 


6.8.3.3 Daten aus externen Quellen 


Im Forschungsmodul sind, insbesondere bei epidemiologischen Fragestellun- 
gen, oft auch Datenabgleiche mit externen Datenquellen bis hin zu Melde- 
ämtern, Gesundheitsämtern und Standesämtern vorgesehen. Diese sind im 
Rahmen des Qualitätssicherungsprozesses zu definieren und müssen natür- 
lich die rechtlichen Rahmenbedingungen (s. Kap. 4.3.4) einhalten. Im Gegen- 
satzzu dem in Kapitel 6.8.3.2 beschriebenen Verfahren muss hierbei aufIden- 
titätsdaten zurückgegriffen werden. Um die für den QS-Service definierten 
Regeln nicht aufzuweichen, ist zu empfehlen, dass die externe Kommunika- 
tion über die Patientenliste oder eine weitere, eigens für diesen Zweck beauf- 
tragte Datentreuhänderstelle abgewickelt wird. 


Enthält der Forschungsverbund auch ein Klinisches Modul oder ein Studien- 
modul, so können die Ergebnisse eines solchen externen Datenabgleichs auch 
wieder Rückmeldungen oder Rückfragen in dieses auslösen. 


6.8.3.4 Einrichtung eines QS-Service 


Der QS-Service als besonderer Dienst muss nur in Forschungsverbünden extra 
aufgesetzt werden, die Daten direkt in eine Forschungsdatenbank aufnehmen, 
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ohne dass diese zuvor die Qualitätssicherungsprozesse eines Klinischen oder 
Studienmoduls durchlaufen haben. Er benötigt eine eigene Datenbank, in der 
Daten während des laufenden Prozesses mit einem PID gekennzeichnet ge- 
halten und nach Beendigung dieses Prozesses (Übergabe qualitätsgesicherter 
Daten an die Forschungsdatenbank) gelöscht werden. Der Datenbestand än- 
dert sich also laufend, wobei die einzelnen Datensätze nur temporär vorgehal- 
ten werden. 


Der temporäre Bestand wird auf diese Weise ständig nach der Zahl der Daten- 
sätze und in den Inhalten modifiziert; da er niemals einen Zustand erreicht, 
der nach anderen Regeln als denen der Qualitätssicherung als konsolidiert 
gelten könnte, ist es nicht möglich, die Daten in anderer als der vorgesehenen 
Art und Weise zu nutzen. Es besteht kein Anreiz, den Bestand regelwidrigz.B. 
für irgendwelche Forschungsfragen zu gebrauchen. 


Es ist ein Regelwerk festzulegen, nach dem der zulässige Gebrauch des tem- 
porären Datenbestands beschrieben und die Einhaltung der Regeln von Dritten 
(z.B. von Seiten des betrieblichen Datenschutzes) geprüft und bestätigt werden 
kann. 


6.8.4 Patientenliste 


Auch die Führung einer Patientenliste im Forschungsverbund kann als Teil 
der Qualitätssicherungsbemühungen angesehen werden (s. Kap. 6.1.2. a). 
Hier ist die eindeutige Identifikation des Patienten durch einen fehlertoleran- 
ten Record-Linkage-Algorithmus gemeint. Da dieser nicht perfekt arbeiten 
kann, ist die regelmäßige (z.B. einmal jährlich, je nach Zeithorizont des For- 
schungsverbunds oder einzelner Projekte) Überprüfung der Patientenliste auf 
Synonyme (clerical review) vorzusehen; entsprechende Korrekturen sind an 
die einzelnen Module weiterzugeben. 


6.8.5 Rückmeldungen von Datenfehlern 


Eine Datenkorrektur in einem Modul des Forschungsverbundes oder in der 
Patientenliste zieht unter Umständen die Notwendigkeit von Korrekturen in 
anderen Modulen nach sich. Gleiches gilt, wenn ein Betroffener sein Berich- 
tigungsrecht wahrnimmt. Für diese Korrekturen sind geeignete Rückmel- 
dungsprozesse zu definieren. 


6.8.5.1 Nutzung der Daten einer Forschungsdatenbank 
zum Zwecke der Qualitätssicherung 


Wird das Forschungsmodul mit anderen Modulen (z.B. dem Studienmodul 
oder Klinischen Modul) gekoppelt, so können schon vorhandene Daten eines 
Patienten aus dem Forschungsmodul zum Zwecke der Qualitätssicherung ge- 
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nutzt werden. Eine genaue Beschreibung befindet sich im Kapitel 6.4 zum 
kombinierten Einsatz von Studien- und Forschungsmodul. 


6.8.5.2 Kombination von Studienmodul und Klinischem Modul 


Die entsprechenden Rückmeldungsprozesse zur Korrektur von Datenfehlern 
wurden in Kapitel 6.3 ausführlich beschrieben. 


6.8.5.3 Kombination von Klinischem Modul und Forschungsmodul 


Hier lassen sich die nötigen Prozesse analog zur Kombination von Studien- und 
Forschungsmodul beschreiben. 
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Das Ziel eines Datenschutzkonzepts ist immer das Austarieren unterschied- 
lichster und scheinbar gegensätzlicher Anforderungen: Es gilt, eine Balance 
zwischen der Umsetzung eines angemessenen und realisierbaren Schutz- 
niveaus, welches Forschung ermöglicht und nicht behindert, auf der einen 
Seite und der Verhinderung von Datenmissbrauch auf der anderen Seite zu 
finden. Um Forscher in die Lage zu versetzen, diesen Ansprüchen und Anfor- 
derungen zu genügen, hat die TMF erstmals 2003 mit den Arbeitskreisen „Wis- 
senschaft“ und „Gesundheit und Soziales“ der Datenschutzbeauftragten des 
Bundes und der Länder abgestimmte generische Datenschutzkonzepte für die 
medizinische Verbundforschung vorgelegt [1]. Dies hat, zusammen mit dem 
2006 zusätzlich veröffentlichten generischen Datenschutzkonzept für Bioma- 
terialbanken [2] und unterstützt durch das Beratungsangebot der Arbeitsgrup- 
pe Datenschutz der TMF, zu einer deutlichen Vereinfachung der Erarbeitung, 
Abstimmung und Umsetzung von Datenschutzkonzepten in der Verbundfor- 
schung geführt. 


38 Dieses Kapitel entstand erst nach der Abstimmung des Leitfadens mit den Datenschützern der Konferenz der 
Datenschutzbeauftragten des Bundes und der Länder und ist somit von dem Empfehlungsbeschluss der 87. 
Konferenz in Hamburg am 27. und 28. März 2014 nicht mit umfasst (s. http://www.datenschutz.hessen.de/ 
dgo11.htm#entry4196). 
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Nicht zuletzt die umfangreich in derTMF zusammengetragene Erfahrung aus 
der Anwendung der bisherigen Konzepte hatte jedoch auch einen deutlichen 
Überarbeitungsbedarf aufgezeigt. Der vorliegende Leitfaden baut auf diesen 
Erfahrungen auf und hat dabei bewährte technische und organisatorische 
Schutzprinzipien der bisherigen Konzepte beibehalten. Gleichzeitig trägt er 
aber mit der neuen und weitreichenden Modularisierung dem Bedarf nach 
einer breiteren Unterstützung verschiedener Anwendungsfälle Rechnung. Die 
modulare Konstruktion erlaubt die Konzeption und Umsetzung von Maßnah- 
men, die an den jeweiligen Zweck angepasst sind und die auch alle damit ver- 
bundenen technischen, organisatorischen und rechtlichen Rahmenbedin- 
gungen reflektieren. Unter der Berücksichtigung detailliert aufgeschlüsselter 
Kriterien der Verhältnismäßigkeit kann eine Feinjustierung des Datenschutz- 
konzepts und der damit verbundenen Aufwände erfolgen. 


Eine wichtige rechtliche Trennlinie verläuft zwischen der Datenverwendung 
zu Zwecken der Patientenversorgung und dem Nutzungskontext der For- 
schung. Diese rechtliche Trennlinie korrekt abzubilden ist besonders dann 
schwierig, wenn der Forschungsprozess eng verzahnt mit der Versorgung der 
betroffenen Patienten abläuft. Solche Anwendungsfälle lassen sich mit dem 
Klinischen Modul abbilden, welches sowohl einen namensbezogenen Zugriff 
auf die Patientendaten im Rahmen der Behandlung ermöglicht, als auch den 
Aufbau einer pseudonymen Datensammlung für spätere Forschungszwecke 
unterstützt. Die Trennlinie zwischen Versorgung und Forschung wird somit 
innerhalb dieses Moduls abgebildet. Das Klinische Modul entspricht damit 
weitgehend der im bisherigen Konzept [1] als „Modell A“ bezeichneten Lösung 
für versorgungsnahe Forschung. 


Eine weitere und häufig weniger bekannte Trennlinie ist zu beachten, wenn 
die Daten primär für Forschungszwecke erhoben werden. Diese verläuft zwi- 
schen Forschungsprojekten mit konkreter und schon bei der Planung bekann- 
ter Zielsetzung und festlegbarer Laufzeit und solchen Daten- und Proben- 
sammlungen, die später auch für heute noch nicht absehbare Forschungsfra- 
gestellungen zur Verfügung stehen sollen. Letztere haben häufig keine kon- 
kret begrenzte Laufzeit. Ein gutes Beispiel für Forschungsprojekte mit 
begrenzter Laufzeit und konkreter Zweckbindung sind klinische Arzneimittel- 
studien, in denen auch der Auswertungsplan schon vor dem Einschluss des 
ersten Patienten festgelegt ist. Im vorliegenden Leitfaden wurden alle not- 
wendigen Informationen für ein angepasstes Datenschutzkonzept für solche 
Forschungsvorhaben im Studienmodul zusammengefasst. 


Wenn Daten weniger eng zweckbezogen gesammelt und aufbewahrt werden, 
wie etwa in epidemiologischen Registern, so sind die mit der dann notwen- 
digerweise langfristigen Speicherung verbundenen erhöhten Risiken in Bezug 
auf die informationelle Selbstbestimmung durch zusätzliche technische und 
organisatorische Maßnahmen auszubalancieren. Wie dies erreicht werden 
kann, beschreibt das Forschungsmodul, welches damit die in dem bisherigen 
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generischen Konzept |1] in „Modell B“ dargestellte versorgungsferne Forschung 
eher „wissenschaftszentrierter Forschungsnetze“ abbildet und auch dort erst- 
mals entwickelte Schutzmaßnahmen übernimmt. 


Ebenfalls folgenschwer ist die Entscheidung, ob in einem Forschungsprojekt 
auch oder primär Proben gesammelt, gelagert und ausgewertet werden sollen. 
Der Aufbau einer Biobank erfordert die Umsetzung besonderer technischer 
und organisatorischer Schutzmaßnahmen, u.a. auch aufgrund des hohen 
Reidentifizierungspotenzials von Proben, die im Regelfall das gesamte Genom 
des betroffenen Probanden enthalten. Hierfür wurde von der TMF das generi- 
sche Datenschutzkonzept für Biomaterialbanken entwickelt [2]. Im vorliegen- 
den Leitfaden wird in dem Biobankmodul auf dieses Konzept verwiesen, so 
dass über diese Integration auch eine Verzahnung von Biobanken mit anderen 
Forschungsprojekten und deren Datensammlungen möglich wird. 


Der Leitfaden beschreibt aber nicht nur die Anwendungsfälle und Umset- 
zungsmöglichkeiten innerhalb der einzelnen Module, sondern gibt darüber 
hinaus auch einen Einblick in übergreifende Szenarien mit der Interaktion 
mehrerer Module, bis hin zu einem Maximalmodell mit allen Formen von 
Daten- und Probensammlungen innerhalb eines Forschungsverbunds. Damit 
steht nun eine umfangreiche Handreichung für alle Forscher, Koordinatoren, 
IT-Experten, Geschäftsführer, Juristen und andere an heutigen biomedizini- 
schen Forschungsprojekten Beteiligte zur Verfügung, die die Konzeption und 
Umsetzung einer datenschutzgerechten Lösung deutlich vereinfachen und 
beschleunigen kann. 


Bei der ganz konkreten Erstellung eines Datenschutzkonzepts samt Einwilli- 
gungserklärung und zugehöriger Policies hilft ein elektronischer Anhang, in 
dem sowohl bestehende Unterstützungsangebote der TMF als auch mit diesem 
Leitfaden neu erstellte Dokumente unter einer Online-Adresse zusammenge- 
stellt und verlinkt wurden. Dieses zusätzliche Angebot kann zudem künftig 
noch weiter wachsen, wenn weitere beispielhafte Datenschutzkonzepte oder 
andere hilfreiche Unterlagen zur Verfügung gestellt werden. 


Die biomedizinische Forschung entwickelt sich jedoch in rasantem Tempo 
weiter. Heute ist kaum abzusehen, welche Möglichkeiten sich der Forschung 
in zehn Jahren eröffnen und welche methodischen Ansätze dann die For- 
schungslandschaft prägen. Neben den technischen und methodischen Ent- 
wicklungen ist aber auch mit gesetzlichen Veränderungen zu rechnen, wie 
siez.B. mit dem Entwurfeiner einheitlichen europäischen Datenschutzgrund- 
verordnung bereits am Horizont aufscheinen. Entsprechend ist auch ein sol- 
cher Leitfaden mit seinen Empfehlungen und Handlungsanweisungen kon- 
tinuierlich weiterzuentwickeln und immer wieder an neue Gegebenheiten 
anzupassen. 


Die Arbeit an diesem Leitfaden hat deutlich gezeigt, dass sich die Heterogeni- 
tät der Forschungslandschaft und der relevanten Anwendungsfälle sowie die 
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Besonderheiten der technischen, organisatorischen und rechtlichen Rahmen- 
bedingungen biomedizinischer Forschung nicht ohne eine Austauschplatt- 
form, wie sie die TMF darstellt, erfassen, bearbeiten und abbilden lassen. Kein 
Expertenteam kann heute diese Bandbreite an Themen aus eigener Anschau- 
ung überblicken. Hierfür wird auch in Zukunft immer eine ständige Rück- 
kopplung mit Forschern und Experten aus unterschiedlichsten Forschungs- 
projekten notwendig sein. 


Immer wieder neue medizinische Forschungsprojekte finden sich in der TMF 
zusammen und nutzen sie als Austauschplattform, in die sie ihre spezifischen 
und womöglich neuen Anforderungen einbringen können. Dabei zu Tage tre- 
tende Schwierigkeiten mit der Umsetzung des Datenschutzleitfadens können 
bei der kontinuierlichen Weiterentwicklung des generischen Datenschutz- 
konzepts und seiner Module berücksichtigt werden. Neue oder modifizierte 
Lösungsvorschläge werden dann unter dem Dach der TMF und in Abstimmung 
mit Medizinrechtlern und Datenschutzbeauftragten entwickelt und publi- 
ziert, zum Nutzen wiederum nachfolgender Forschungsprojekte. 
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Die nachfolgenden Begriffserläuterungen aus dem Bereich der medizinischen 
Forschungsverbünde orientieren sich an folgender Grundstruktur: 


= Definition 
= Erläuterung (z.T. mit Beispielen) 
= Verweise (Nachweise, Hinweise, weiterführende Angaben) 


Im Einzelfall können Glossar-Einträge jedoch von diesem Grundmuster ab- 
weichen. Formulierungen zu klinischen Studien wurden zum Teil von R. Mei- 
nert und 1. Stamm (KKS Mainz, heute IZKS Mainz») übernommen. Für einige 
Einträge wurde auf Inhalte oder auch Formulierungen aus der Wikipedia zu- 
rückgegriffen. Anden entsprechenden Stellen ist dies mit Hilfe von Fußnoten 
gekennzeichnet. Das Glossar ist alphabetisch geordnet. 


ADAT 


Definition: Daten, die einen teilnehmenden Arzt des > Forschungsverbunds 
beschreiben, insbesondere Name und Kontaktdaten. 


39 www.izks-mainz.de 


197 


Verzeichnisse 


Erläuterung: ADAT werden meist als Teil der >OrgDAT behandelt. 


AE 


siehe >unerwünschtes Ereignis. 


AMG 


siehe >Arzneimittelgesetz. 


AMG-Studie 


Definition: Eine >Studie, die dem >Arzneimittelgesetz (AMG) unterliegt. Dort 
definiert als „jede am Menschen durchgeführte Untersuchung, die dazu be- 
stimmt ist, klinische oder pharmakologische Wirkungen von Arzneimitteln 
zu erforschen oder nachzuweisen oder Nebenwirkungen festzustellen oder die 
Resorption, die Verteilung, den Stoffwechsel oder die Ausscheidung zu unter- 
suchen, mit dem Ziel, sich von der Unbedenklichkeit oder Wirksamkeit der 
Arzneimittel zu überzeugen.“ 


Erläuterung: Eine solche Studie isteine der Voraussetzungen dafür, dass ein Arz- 
neimittel zugelassen wird. >Nichtinterventionelle Prüfungen werden hiervon 
nicht erfasst. Die Anwendung von GCP (>Good Clinical Practice) ist vorge- 
schrieben. 


Anonymisierung 


Definition: Anonymisierung ist die Aufhebung der >Personenbezogenheit von 
Daten zu einer Person. „Anonymisieren ist das Verändern personenbezogener 
Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhält- 
nisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an 
Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürli- 
chen Person zugeordnet werden können.“ [>BDSG ș 3 (6)]. 


Erläuterung: Anonymisierung bedingt, dass eine Zuordnung der Daten zu einer 
Person technisch und inhaltlich nicht mehr möglich ist oder aber eine >Re- 
identifizierung inhaltlich nur noch mit unverhältnismäßig großem Aufwand 
möglich wäre, so dass ein Erfolg höchst unwahrscheinlich erscheint. 


Hiervon abgeleitet kann man, je nach theoretischer Möglichkeit der >Reiden- 
tifizierung, zwischen absoluter (vollkommener) und faktischer Anonymisie- 
rung unterscheiden. 


Absolute Anonymisierung liegt vor, wenn eine nicht nur technisch, sondern 
auch inhaltlich absolut irreversible Abtrennung der >Personenbezogenheit 
besteht, d.h., wenn auch theoretisch aus dem Inhalt der Daten nicht mehr 
auf eine Person zurückgeschlossen werden kann. 
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Faktische Anonymität besteht dann, wenn diese Möglichkeit des Rückschlus- 
ses bei bestimmten Datenkonstellationen (Alleinstellungsmerkmale, z.B. 
durch Kombination mit umfangreichen externen Datensätzen) theoretisch 
nicht ausgeschlossen erscheint, aber praktisch mit so hohem Aufwand ver- 
bunden wäre, dass sie unverhältnismäßig und unwahrscheinlich erscheint. 


Erscheint diese >Reidentifizierung aus dem Inhalt der Daten heraus jedoch 
möglich, so ist die formal vollzogene Anonymisierung unvollständig und es 
herrscht wieder Personenbezogenheit. Als formale Anonymisierung bezeich- 
net man den Anonymisierungsvorgang, unabhängig davon, ob faktische oder 
absolute Anonymität erreicht wird oder nicht. 


Gegensatz: >Personenbezogenheit. 


Verwandte Begriffe: »Pseudonymisierung, eine eingeschränkte Form der Anony- 
misierung; faktische Anonymisierung siehe oben. 


Archivierung 
Definition: Dauerhafte Aufbewahrung von Daten auf geeigneten Datenträgern. 


Erläuterung: Im Gegensatz zu einem Backup (Datensicherung) ist in der Regel 
kein online-Zugriff mehr nötig und möglich (bei elektronischer Archivierung 
ist der online-Zugang allerdings weiter möglich oder leicht wieder herzustel- 
len); auch werden archivierte Daten nicht mehr geändert. Im Kontext der 
-medizinischen Forschungsverbünde ist die Archivierung beispielsweise für 
>klinische (>AMC), oder auch epidemiologische Studien relevant, wobei min- 
destens der Stand zum Zeitpunkt der Auswertung eingefroren werden soll. Bei 
Veröffentlichungen sind die Empfehlungen zur >Guten Wissenschaftlichen 
Praxis zu berücksichtigen. 


Arzneimittelgesetz (AMG) 


Definition: Das Arzneimittelgesetz (Gesetz über den Verkehr mit Arzneimitteln, 
AMG) ist in Deutschland ein Gesetz des besonderen Verwaltungsrechts zur 
Ein- und Ausfuhr von und zum Verkehr mit Arzneimitteln. „Es ist der Zweck 
dieses Gesetzes, im Interesse einer ordnungsgemäßen Arzneimittelversorgung 
von Mensch und Tier für die Sicherheit im Verkehr mit Arzneimitteln, insbe- 
sondere für die Qualität, Wirksamkeit und Unbedenklichkeit der Arzneimit- 
tel [...] zu sorgen.“ 


Erläuterung: Das Arzneimittelgesetz dient als gesetzliche Grundlage dem Schutz 
der Gesundheit der Bevölkerung insbesondere durch die hohen Anforderungen 
an die Sorgfalt im Umgang mit Arzneimitteln durch die Pharmaindustrie, Apo- 
theker und Ärzte. Dies betrifft vor allem die Belange: Herstellung, Inverkehr- 
bringung, Prüfung, Verschreibung, Aufklärung und Abgabe von Arzneimitteln. 
Verstöße gegen das AMG werden teils als Ordnungswidrigkeiten, teils als Straf- 
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taten geahndet (s. $$ 95£f.).* Das AMG stellt strikte, auch datenschutzrechtlich 
relevante Anforderungen an die Durchführung einer >klinischen Studie. 


Hinweis: In Österreich ist das dortige Arzneimittelgesetz, in der Schweiz das 
Bundesgesetz über Arzneimittel und Medizinprodukte (Heilmittelgesetz) ein- 
schlägig. 


Verweis: http://bundesrecht.juris.de/amg_1976/ 


Ärztliche Schweigepflicht 
>Schweigepflicht. 


Audit 


Definition: Als Audit werden allgemein Untersuchungsverfahren bezeichnet, 
die dazu dienen, Prozessabläufe hinsichtlich der Erfüllung von Anforderungen 
und Richtlinien zu bewerten. * 


Erläuterung: Die Audits werden von einem speziell hierfür geschulten Auditor 
durchgeführt. Im Kontext von >klinischen Studien ist ein Audit Bestandteil 
der >Qualitätssicherung. Hierbei werden sämtliche Prozesse auf Übereinstim- 
mung mit Studienplan, Richtlinien, -SOPs und anderen verbindlichen Fest- 
legungen - auch hinsichtlich Datenschutzmaßnahmen - geprüft. Ein Zugriff 
auf konkrete Daten ist allenfalls stichprobenartig nötig; ein Personenbezug 
muss im Regelfall nicht offenbart werden. 


Hinweis: Auch im direkten Kontext des Datenschutzes wird der Begriff verwen- 
det: Das Datenschutz-Audit ist im -BDSG s ga definiert: „Zur Verbesserung des 
Datenschutzes und der Datensicherheit können Anbieter von Datenverarbei- 
tungssystemen und -programmen und datenverarbeitende Stellen ihr Daten- 
schutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und 
zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prü- 
fung veröffentlichen.“ Ein solches Datenschutz-Audit wird u.a. vom Unabhän- 
gigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) angeboten. 


Aufklärung 


siehe >Patienteninformation. 


Auskunftsrecht 


Definition: -BDSG s$ 19: „Dem Betroffenen ist auf Antrag Auskunft zu erteilen 
über 


40 vergl. http://de.wikipedia.org/wiki/Arzneimittelgesetz_%28Deutschland%29 (Abruf: 2014-08-27) 
41 vergl. http://de.wikipedia.org/wiki/Audit (Abruf: 2014-08-27) 
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1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die 
Herkunft dieser Daten beziehen, 

2. die Empfänger oder Kategorien von Empfängern, an die die Daten weiter- 
gegeben werden, und 

3. den Zweck der Speicherung.“ 


Im Datenschutzrecht besteht also das aus dem »informationellen Selbstbe- 
stimmungsrecht abgeleitete Recht, Auskunft über alle gespeicherten perso- 
nenbezogenen Daten zu erlangen. Im Arztrecht besteht das Recht des Patien- 
ten, Einsicht in die objektiven Teile der ärztlichen Aufzeichnungen zu nehmen 
(mit wenigen Ausnahmen). 


Erläuterung: Der Patient oder Proband hat das Recht, Auskunft über die Daten 
zu verlangen, die über ihn im Bereich des »Forschungsverbunds gespeichert 
werden. In der Regel wendet er sich dazu an den aktuell behandelnden Arzt, 
der mit dem Forschungsverbund in Verbindung steht. Der Arzt leitet dann die 
Prozesse ein, die zur gewünschten Auskunft führen. 


Hinweise: Es istzwischen dem datenschutzrechtlichem Auskunftsrecht und der 
Auskunft über Untersuchungs- oder Analyse-Ergebnisse aus einem For- 
schungsprojekt zu unterscheiden. 


Grundlage für das datenschutzrechtliche Auskunftsrecht ist das Datenschutz- 
recht sowie im »Behandlungszusammenhang das Arztrecht. Das Auskunfts- 
recht richtet sich an den >Träger des Forschungsverbundes (oder der Biomate- 
rialbank, der Studie, ...) und wird an den in der >Einwilligungserklärung ge- 
nannten Ansprechpartner gerichtet; das kann, muss aber nicht, derbehandeln- 
de Arzt sein. Es betrifft die Speicherung von >personenbezogenen Daten. In der 
Regel sind in einem Forschungsverbund nur bei der Datenquelle (behandelnde 
Einrichtung) und beim ID-Management (>Patientenliste) personenbezogene 
Daten gespeichert. Ergebnis eines Auskunftsgesuchs sind die genannten perso- 
nenbezogenen Daten, wobei die behandelnde Stelle nach dem Arztrecht in Aus- 
nahmefällen aus Fürsorge für den Patienten Informationen zurückhalten darf. 


Für die Auskunft über Untersuchungs- oder Analyse-Ergebnisse aus einem 
Forschungsprojekt besteht dagegen keine Rechtspflicht. Grundlage ist die Re- 
gelung in der >Einwilligungserklärung. Hier kann eine Mitteilung auf Ver- 
langen oder aber eine „automatische“ Mitteilung vereinbart sein (oder auch 
das >Recht aufNichtwissen). Falls eine Mitteilung erfolgt, darf diese nur über 
den behandelnden Arzt (oder einen anderen in der Einwilligungserklärung 
genannten Arzt) erfolgen, gegebenenfalls unter Hinzuziehung eines fachlich 
kompetenten Kollegen (>Konsiliarius, z.B. für die Interpretation von Bilddaten 
und >Befunden) sowie bei genetischen Analysen eines Humangenetikers. 


Ausschuss Datenschutz 


Definition: Der Ausschuss Datenschutz ist ein Gremium eines »Forschungsver- 
bundes, das die Regelung aller mit dem Datenaustausch und dem Datenzu- 
gang zusammenhängenden Fragen verantwortet. 
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Erläuterung: Diesem Ausschuss kommen folgende fachlichen Aufgaben zu: 


= Bewertung und Bewilligung der Anträge von Wissenschaftlern auf die 
Bereitstellung von Forschungsdaten, welche Ziel, Wegund Datenbedarf 
darstellen. Mit der Bewilligung ist zu definieren 
der auf die Forschungsaufgabe zugeschnittene Datensatz, 
die anzuwendenden Selektionsfilter, 
der Zugang zu >pseudonymisierten oder >anonymisierten Daten. 
= Bewertung und Bewilligung von Anträgen auf Übermittlung von For- 
schungsergebnissen an Patienten durch deren behandelnde Ärzte. 
= Die Beauftragung der zentralen Dienste und die Verabschiedung der 
>Policies und Nutzungsordnungen für diese zentralen Dienste, welche 
die für Datenschutz und Datensicherheit relevanten Regeln enthalten. 


Der Ausschuss Datenschutz kann auch durch ein Gremium verkörpert werden, 
das andere Aufgaben hat (und anders bezeichnet wird), z.B. durch den Vor- 
stand. Der Datenschutzbeauftragte des Forschungsverbunds soll diesem Gre- 
mium angehören; seine vom Datenschutzgesetz definierten Rechte und 
Pflichten sind dadurch unberührt. Die Aufgaben des Ausschusses Datenschutz 
gehen über die gesetzlich definierten Aufgaben des Datenschutzbeauftragten 
hinaus. 


BDSG 


>Bundesdatenschutzgesetz. 


Befund 


Definition: Der medizinische Befund kann sich entweder auf die Gesamtheit der 
durch Ärzte erhobenen körperlichen und psychischen Erscheinungen eines 
>Patienten oder auf einzelne, erwartete oder unerwartete, Beobachtungs- oder 
Untersuchungsergebnisse beziehen. Einzelnen Befunden (>Finding) kann 
eine pathologische Konnotation anhaften. Die Feststellung „ohne Befund“ 
bringt dann das Fehlen eines Hinweises auf eine Krankheit zum Ausdruck. 


Behandlungszusammenhang (Behandlungskontext) 


Definition: Daten und Proben werden im Behandlungszusammenhang gewon- 
nen, wenn sie im Rahmen der Behandlung eines Patienten von einem Arzt 
oder dem Mitarbeiter einer Klinik oder sonstigen klinischen Einrichtung er- 
hoben werden und ihre Zweckbestimmungin der Analyse für Zwecke der wei- 
teren Behandlung des Patienten zu sehen ist. Daten und Proben aus dem Be- 
handlungszusammenhang sind durch die ärztliche Schweigepflicht beson- 
ders geschützt, solange sie diesen nicht verlassen. 


Erläuterung: Sollen Daten oder Proben aus dem Behandlungszusammenhang 
auch für weitergehende Forschungszwecke verwendet werden, ist vor der Er- 
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hebung im Regelfall eine zusätzliche Information des Patienten über diese 
Zwecke sowie seine entsprechende >Einwilligung erforderlich. 


Abzugrenzen von den im Behandlungszusammenhang gewonnenen Daten 
und Proben sind solche, die im »Forschungszusammenhang erhoben werden. 
Die Prozesse in einem medizinischen Forschungsverbund können zum Be- 
handlungszusammenhang oder zum Forschungszusammenhang gehören. 
Falls hier ein Behandlungszusammenhang besteht, gilt dieser bei chroni- 
schen Erkrankungen als gewahrt, sofern der Patient spätestens alle 6 Jahre 
wieder bei einem behandelnden Arzt vorstellig wird und Daten zu ihm im 
Behandlungszusammenhang erfasst werden. Während dieser Zeit ist ein Zu- 
griff auf die früheren Daten durch die behandelnden Ärzte möglich. Ein- 
schränkungen zu dieser Richtzeit gelten für nur mittelbar im Behandlungs- 
zusammenhang beteiligte Ärzte wie z.B. Laborärzte. Für diese werden je nach 
Aufgabe unterschiedliche spezifische Einschränkungen (Rollen) in dem For- 
schungsvorhaben definiert, vom >Ausschuss Datenschutz des Forschungs- 
verbundes festgelegt und durch die Systembetreuer im Zugriffskonzept ab- 
gebildet. 


Für nicht chronische Krankheiten ist der zur Wahrung des Behandlungszu- 
sammenhangs zureichende Zeitraum spezifisch und auch abhängig von der 
Forschungsmethodik im Forschungsvorhaben zu definieren. 


Benchmarking 


Definition: Behandlerübergreifender Vergleichsprozess zu Behandlungsabläufen 
und -erfolgen. 


Erläuterung: Beim Benchmarking werden von mehreren Behandlern auf frei- 
williger Basis Daten zum Behandlungsablauf und -ergebnis zusammengeführt 
und ausgewertet. Die Ergebnisse werden dem einzelnen Behandler im Regel- 
fall so zurückübermittelt, dass ihm eine Einschätzung der von ihm erreichten 
Behandlungsqualität im Verhältnis zu allen anderen teilnehmenden Behand- 
lern möglich wird. Ziel ist eine Sicherung oder Steigerung der Behandlungs- 
qualität bei allen teilnehmenden Behandlern. Während die hierfür benötigten 
Patientendaten häufig >anonymisiert verglichen werden können, werden die 
Arztdaten (>ADAT) in >pseudonymisierter Form genutzt. Ebenfalls möglich 
isteine Kopplung miteiner >Klinischen Datenbank, wobei eine zentrale Spei- 
cherung pseudonymisierter Patientendaten zum Zwecke der Qualitätssiche- 
rung eine Einwilligung voraussetzt. 


Beobachtungsstudie 


Definition: Bei einer Beobachtungsstudie wird (im Gegensatz zu einer >Inter- 
ventionsstudie) kein gezielter Einfluss auf den Ablauf ausgeübt. Die Auswer- 
tung ist im Allgemeinen nur deskriptiv. 
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Erläuterung: Beobachtungsstudien dienen auch zur Hypothesenbildung für 
künftige >kontrollierte Studien. Die Daten aus Beobachtungsstudien können 
in einer >Klinischen Datenbank zusammengeführt werden (z.B. bei Langzeit- 
beobachtung von chronischen oder angeborenen Erkrankungen). 


Beschlagnahmefestigkeit 


Definition: Beschlagnahmefestigkeit ist der durch Rechtsvorschriften konstitu- 
ierte Schutz von Gegenständen (Sachen, Akten, Unterlagen, Daten usw.) 
gegenüber beweissichernden Maßnahmen der Strafverfolgungsbehörden. 


Erläuterung: Beschlagnahmeverbote ergeben sich aus verschiedenen Prozess- 
ordnungen, insbesondere aus $ 97 Abs. 1 StPO. Im Unterschied zu personen- 
bezogenen Unterlagen bei Rechtsanwälten, Notaren und Ärzten unterliegen 
Forschungsdaten und Proben keinem solchen Beschlagnahmeschutz. Das gilt 
somit auch für Daten und Proben von >medizinischen Forschungsverbünden, 
sobald sie den Behandlungszusammenhang verlassen. 


Verweis: Zum Thema Beschlagnahmefestigkeit und Forschungsgeheimnis vgl. 
auch [23, S. ı90ff] und [20]. 


BildDAT 


Definition: Bilder aus bildgebenden Verfahren der Medizin, die in digitaler Form 
vorliegen und mit organisatorischen oder technischen Begleitdaten (>OrgDAT) 
versehen sind. 


Erläuterung: Beispiele für solche Bilder sind 


Fotografien, 

Schnittbilder aus der Pathologie, 

endoskopische Aufnahmen, 

Röntgenbilder, 

Computer-Tomogramme (CT), 

Kernspin-Tomogramme (MRT = Magnet-Resonanz-Tomogramm), 
Nuklearmedizinische Verfahren (PET = Positron-Elektron-Tomogramm 
u.a.), 

= Ultraschallaufnahmen (Sonogramm). 


Dabei kann es sich um Einzelbilder, zusammengehörige Bilderserien oder Fil- 
me handeln. Die Bilder dienen meist zu diagnostischen Zwecken, können aber 
auch für die Therapieplanung benötigt werden. 


Analysedaten aus Bildern (>Befunde) werden in der Regel den -MDAT zuge- 
schlagen, da sie - im Gegensatz zu Probenanalysedaten (>ProbDAT) - kein >Re- 
identifizierungspotenzial besitzen. Im Gegensatz dazu haben die Bilder selbst 
gelegentlich (z.B. bei Fotografien) ein >Reidentifizierungspotenzial, welches 
im Einzelfall beurteilt und berücksichtigt werden muss. 
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Bilddatenbank 


Definition: Eine Bilddatenbank ist eine Einrichtung, die medizinische Bilder 
(>BildDAT) sammelt, ggf. aufbereitet, ggf. durch demographische und krank- 
heits- bzw. fragestellungsbezogene („medizinische“, MDAT) Daten des Pro- 
banden ergänzt und Bilder sowie evtl. Daten in geeigneter Form für For- 
schungszwecke zur Verfügung stellt. 


Erläuterung: Eine solche Bilddatenbank stellt Referenzmaterial für Versorgung, 
Forschung und Lehre zur Verfügung. Wichtig dafür ist die Aufbereitung für 
eine effiziente Suche, z.B. nach diagnostischen Details. Verwendete Bildfor- 
mate sind -DICOM sowie die im Internet gebräuchlichen Formate (z.B. JPEG). 


Biobank (Biomaterialbank, Probenbank, Gewebebank, Genbank, Probensammlung) 


Definition: Eine Biobank ist eine Einrichtung, die >Proben menschlicher Kör- 
persubstanzen sammelt, ggf. aufbereitet, durch demographische und krank- 
heits- bzw. fragestellungsbezogene („medizinische“) Daten des Probanden 
ergänzt und Proben und Daten in geeigneter Form für Forschungszwecke zur 
Verfügung stellt. 


Erläuterung: Eine Biobank sammelt >Proben menschlicher Körpersubstanzen 
(Zellen, Gewebe, Blut, ganze Organe usw.) extrahiert ggf. Anteile solcher Subs- 
tanzen (etwa Serum oder DNA), ergänzt diese durch Daten des Probanden 
(personenbezogen, krankheitsbezogen) und stellt Proben und Daten in geeig- 
neter Form für Forschungszwecke zur Verfügung. Die Bereithaltung der Bio- 
materialien und der dafür erforderlichen Daten erfolgt in der „Probenbank“; 
die Daten des Probanden einschließlich ermittelter Analyseergebnisse werden 
in „Datenbanken“ abgelegt. Wichtig ist dabei die begriffliche Unterscheidung 
zwischen der Biobank als Gesamteinrichtung und der Probenbank als Bestand- 
teil der Biobank, die lediglich die Sammlung der Biomaterialien darstellt. 
Weiterhin handelt es sich bei einer Biobank weder um ein reines Biomaterial- 
lager noch um eine reine Datenbank, sondern vielmehr um die Einheit von 
Biomaterial und Daten. 


Eine Biobank ist auch von solchen Probensammlungen zu unterscheiden, die 
im Rahmen der Krankenversorgung entstehen und nur intern (etwa in einer 
Universitätsklinik) zur behandlungsnahen Forschung genutzt werden, ohne 
dass die Proben oder entsprechende Analyseergebnisse dauerhaft für weiter- 
gehende Forschungszwecke zur Verfügung gestellt werden. Probensammlun- 
gen, deren Aufbau nur inhaltlich und zeitlich befristeten Forschungsprojek- 
ten dient, werden ebenfalls nicht als Biobank im hier maßgeblichen Sinn 
bezeichnet. 


Verweis: Grundlegend zum Begriff der Biobank im hier dargestellten Sinn auch 
[2] sowie [14 S. 12ff]. 
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Biomaterial 


siehe >Probe. 


Biomaterialbank 


siehe >Biobank. 


Bundesdatenschutzgesetz (BDSG) 


Definition: Setzt das vom Bundesverfassungsgericht 1983 festgestellte >infor- 
mationelle Selbstbestimmungsrecht um, in dem es den Umgang mit >perso- 
nenbezogenen Daten subsidiär (nachgeordnet zu anderen Gesetzen) für öffent- 
liche Einrichtungen des Bundes, alle nicht-öffentlichen Einrichtungen und 
in bestimmten Fällen auch für öffentliche Einrichtungen der Länder regelt. 
Zudem wird die Datenschutzaufsicht für die öffentlichen Einrichtungen des 
Bundes geregelt. 


Erläuterung: Das BDSG legt insbesondere fest, dass eine Verarbeitung und Nut- 
zung personenbezogener Daten im Regelfall nur erfolgen darf, wenn ein Gesetz 
dies erlaubt oder der Betroffene eingewilligt hat. Analoge Regelungen enthal- 
ten die >Landesdatenschutzgesetze für ihren jeweiligen Anwendungsbereich. 


Verweis: http://www. gesetze-im-internet.de/bdsg_1990 


Case Report Form (CRF) 


siehe »Dokumentationsbogen 


Cloud (Cloud-Computing) 


Definition: Virtualisiertes Angebot von IT-Services. Dabei können Hardwareres- 
sourcen, im wesentlichen Rechenkapazität und Speicherplatz (Infrastructure 
as a Service - IaaS), Anwendungs- und Entwicklungsplattformen (Platform as 
as Service - PaaS) als auch fertige Anwendungen (Software as a Service - SaaS) 
über Netzwerkverbindungen angeboten werden. 


Erläuterung: Eine wichtige Unterscheidung von Cloud-Angeboten betrifft die 
Art des Netzwerks, über das die verschiedenen Dienste angeboten werden. 
Wenn dies ein öffentliches Netz ist - im Regelfall das Internet - wird von einer 
Public Cloud gesprochen, anderenfalls von einer Private Cloud. Nach einer 
alternativen Definition spricht man von einer Public Cloud, wenn der Nutzer 
und der Anbieter der Cloud unterschiedlichen juristischen Personen zuzuord- 
nen sind. Dementsprechend ist dann von einer Private Cloud auszugehen, 
wenn der Anbieter zur selben juristischen Person gehört wie der Nutzer als 
datenschutzrechtlich verantwortliche Stelle für die Datenverarbeitung. 


Die wesentlichen Vorteile des Cloud-Computings, die flexible und skalierbare 
Nutzung von Ressourcen wie Rechenleistung und Speicherplatz, verbunden 
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mit einer Kostenumverteilung von Investitions- zu Betriebsaufwänden, sind 
in ähnlicher Form auch schon für das >Grid-Computing reklamiert worden. 
Im Idealfall führt eine zielgenaue Mittelallokation zu einer Kostensenkung. 


Verweise: Ausführliche Informationen zum Cloud-Computing aus datenschutz- 
rechtlicher Sicht finden sich in [28] und [42], jedoch ohne näheren Bezug zum 
Bereich der medizinischen Forschung. Für eine Abgrenzung zum >Grid-Com- 
puting siehe [43]. 

Codierung 


siehe >Pseudonymisierung. 


Contract Research Organisation (CRO) 


Definition: Auftragsforschungsinstitute übernehmen im Auftrag von >Sponso- 
ren >klinischer Studien Teile der Studiendurchführung. Sie sind meist kom- 
merziell ausgerichtet. 


Controller 


Definition: Mit der EU-Datenschutzrichtlinie 95/46/EG eingeführter Begriff für 
die für die Verarbeitung >personenbezogener Daten verantwortliche Stelle. 


Verweis: »Datenverarbeitende Stelle 


CRF 


Case Report Form, siehe >Dokumentationsbogen 


CRO 


siehe >Contract Research Organisation 


Data Warehouse 


Definition: Datenbank, in der Daten aus unterschiedlichen Quellen in einem 
einheitlichen Format für übergreifende Auswertungen zusammengefasst wer- 
den. Daten werden hierfür aus den Quellsystemen extrahiert (Extract), so 
transformiert (Transform) dass ein einheitliches Format erreicht wird und 
schließlich in das Data Warehouse geladen (Load). Dieser Prozess wird ent- 
sprechend der drei Stufen auch ETL-Prozess genannt. 


Erläuterung: Daten aus verschiedenen klinischen Dokumentationssystemen kön- 
nen mit Hilfe eines Data Warehouse für Forschungsfragestellungen zugäng- 
lich gemacht werden, z.B. für Rekrutierungsanfragen oder für die Abschät- 
zung der Machbarkeit (Feasibility) einer Studie. 
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Datenkategorien in einem medizinischen Forschungsverbund 


In einem Forschungsverbund fallen unterschiedliche Datenkategorien an. Im 
Einzelnen werden gemäß diesem Leitfaden zum Datenschutz folgende logi- 
sche Datenkategorien unterschieden: >IDAT, >LabID, >MDAT, >BildDAT, 
>OrgDAT, >PID, >ProbDAT und >PSN. 


Datenmanager (Datenkoordinator) 


Definition: Datenmanager sind für die technischen Prozesse der Datenerfassung 
und -verarbeitung sowie ggf. auch für die Archivierung in klinischen For- 
schungsprojekten zuständig. 


Erläuterung: Übliche Aufgaben eines Datenmanagers im Rahmen klinischer 
Studien sind 


= Erstellung von »Dokumentationsbögen (Papier oder elektronisch) ent- 
sprechend dem Studienprotokoll, 

= Anwenderschulung für die Prüfzentren, 

= Installation und Konfiguration der Datenerfassungssoftware, 

Festlegung der Richtlinien für die Datenerfassung, Mitwirkung bei der 

>SOP-Erstellung, 

Einrichtung der >Studiendatenbank, 

Logistik der Datenerfassung, 

Erstellung von Plausibilitätsprüfungen und Datenvalidierung, 

Rückfragen an Prüfzentren, 

Unterstützung von Validierungs-, Review- und >Monitoring-Prozessen, 

Bereitstellung von Daten für Auswertungen und Einreichungen bei Be- 

hörden. 


Oft sind Datenmanager auch mit dem technischen Support der eingesetzten 
Software oder mit der statistischen Auswertung der Daten beauftragt. 


Verweis: Weitere Informationen finden sich in [44]. 


Datenqualität 


Definition: Grad, in dem eine Menge von Daten Anforderungen, z.B. hinsicht- 
lich Genauigkeit, Vollständigkeit und Korrektheit, erfüllt. 


Erläuterung: Unter Qualitätsmanagement versteht man aufeinander abge- 
stimmte Tätigkeiten zum Leiten und Lenken einer Organisation bezüglich 
ihrer Qualität. Dazu gehören üblicherweise das Festlegen der Qualitätspolitik 
und der Qualitätsziele, die Qualitätsplanung, die Qualitätslenkung, die Qua- 
litätssicherung und die Qualitätsverbesserung. Qualitätssicherung ist ein Teil 
des Qualitätsmanagements mit dem Ziel, Vertrauen dahingehend zu erzeu- 
gen, dass Qualitätsanforderungen erfüllt werden. 
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In der Regel sind Datenerhebungen in »medizinischen Forschungsverbünden 
mit einer oder mehreren Stufen der Qualitätssicherung verbunden; Umfang 
und Komplexität der Qualitätssicherung sind durch das Studiendesign und 
die Normen, denen es sich unterwirft, definiert. Immer geht es dabei um die 
Ergänzung und Korrektur fehlender, unvollständiger und implausibler Daten. 
Bei >epidemiologischen Studien setzen die Forscher selbst die Anforderungen 
und Verfahren fest. Bei >klinischen Studien sind die Anforderungen durch 
>„Standard Operation Procedures“ von außen festgelegt. 


Verweis: Weitere Informationen in [45]. 


Datentreuhänder 


Definition: Der Datentreuhänder ist eine rechtlich, räumlich und personell 
selbstständige und unabhängige Stelle, die idealerweise einer besonderen Ge- 
heimhaltungspflicht unterliegt, z.B. ein Notar oder ein externer Arzt. 


Erläuterung: Der Datentreuhänder tritt zwischen eine Forschungsdaten besit- 
zende Stelle und den Forscher und sichert dadurch die Rechte der betroffenden 
>Patienten und Probanden. Er >anonymisiert oder >pseudonymisiert die von 
der Daten besitzenden Stelle übermittelten >personenbezogenen Daten und 
übermittelt nur die anonymisierten bzw. pseudonymisierten Daten an den 
Forscher weiter. Aufdiese Weise bleibt der Kreis derjenigen, die Kenntnis von 
personenbezogenen Daten erhalten, eng begrenzt, und die Datensicherheit 
kann effektiv gewährleistet werden. Die durch den Datentreuhänder wahr- 
genommene Funktion eines „vertrauenswürdigen Dritten“ kann noch ver- 
stärkt werden, wenn dieser einer Berufsgruppe angehört, die gesetzlich zur 
Verschwiegenheit verpflichtet istund deren Unterlagen und Daten u.U. einem 
>Beschlagnahmeschutz unterliegen (Beispiele: Rechtsanwälte, Notare). 


Datentreuhänder werden bereits von einigen medizinischen Kompetenznet- 
zen eingesetzt (beispielhaft: Kompetenznetz Parkinson e.V.). 


Verweis: Näheres zur Rolle und den Aufgaben eines Datentreuhänders findet 
sich bei Metschke und Wellbrock [19 S. 4ıff] und Dierks [20] 
Datenverarbeitende Stelle 


Die für die Verarbeitung personenbezogener Daten verantwortliche Stelle. 


>Controller 


Depseudonymisierung 


Definition: Befugte Wiederherstellung des >Personenbezugs von pseudonymi- 
sierten Daten und Proben. 
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Erläuterung: Dies wird durch Umkehrung des >Pseudonymisierungsverfahrens 
erreicht. Despeudonymisierung wird in bestimmten Anwendungsfällen als 
kontrollierter Vorgang aktiv betrieben, z.B. bei der Rückübermittlung von 
Forschungserkenntnissen an einen Patienten, die auf der Basis pseudonymi- 
sierter Daten gewonnen wurden. Davon zu unterscheiden ist die >Reidenti- 
fizierung als unbefugte Wiederherstellung des Personenbezugs. 


Verwandte Begriffe: >Anonymisierung und »Pseudonymisierung. 


DICOM 


Definition: Digital Imaging and Communications in Medicine. DICOM ist ein 
weltweit offener Standard zum Austausch von digitalen Bildern in der 
Medizin. 


Erläuterung: DICOM standardisiert sowohl das Format zur Speicherung von Bild- 
daten als auch das Kommunikationsprotokoll zum Austausch der Bilder. Fast 
alle Hersteller medizinisch bildgebender Systeme wie z.B. Digitales Röntgen, 
Magnetresonanztomographie, Computertomographie oder Sonografie imple- 
mentieren den DICOM-Standard in diesen Geräten. Dadurch wird im klini- 
schen Umfeld Interoperabilität zwischen medizinischen Systemen verschie- 
dener Hersteller erreicht. DICOM beinhaltet neben Datenfeldern (z.B. Infor- 
mationen über Bilder, Befunde, >Patienten, >Studien, Serien, ...)auch die 
Syntax und Semantik von Kommandos und Nachrichten. Weiterhin legt der 
Standard Vorschriften für die Beschreibung von DICOM-kompatiblen Geräten 
und Software fest, da für jedes DICOM-kompatible Gerät eine exakte Beschrei- 
bung der Systemfähigkeit vorhanden und veröffentlicht sein muss (DICOM 
Conformance Statement). Ein DICOM-Datensatz dient als Container. Er ent- 
hält außer einem oder mehreren Bildern auch Metainformationen wie Patien- 
tenname, Aufnahmedatum, Geräteparameter oder Arztname.* 


Dokumentationsbogen 


Definition: Auf Papier oder elektronisch bereit gestelltes Formular zur Daten- 
erfassung in klinischen Forschungsprojekten. 


Verweis: s.a. »Datenmanager 


EDC 


Electronic Data Capture, siehe Remote Data Entry 


EFA 


+Elektronische Fallakte 


42 vergl. http://de.wikipedia.org/wiki/Dicom (Abruf: 2014-08-27) 
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EGA 


>Elektronische Gesundheitsakte 


Einwilligungserklärung (informed consent, Einwilligung nach Aufklärung, 
Einverständniserklärung) 


Definition: Die vom Datenschutzrecht geforderte Voraussetzung zur Verarbei- 
tung >personenbezogener Daten des Betroffenen, sofern diese nicht aufgrund 
eines Gesetzes erlaubt ist. 


Erläuterung: Die Einwilligungserklärung eines >Patienten oder Probanden ist 
nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. 
Er ist zuvor über den vorgesehenen Zweck der Erhebung, Verarbeitung oder 
Nutzung seiner Daten und Proben aufzuklären („informed consent“). Die 
Wirksamkeit der Einwilligungserklärung erfordert deren Schriftform. Soll sie 
zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie beson- 
ders hervorzuheben. Materiellrechtlich setzt die Einwilligungserklärung die 
Einsichtsfähigkeit des Erklärenden voraus. 


Hinweise: Der oft gebrauchte Begriff „Einverständniserklärung“ sollte im Kon- 
text der medizinischen Behandlung oder Forschung nicht gebraucht werden, 
da er die Manifestation des Willens des Betroffenen nicht deutlich ausdrückt. 


Im Behandlungszusammenhang gilt die vereinfachte Regelung des Arzt- 
rechts. Im Rahmen der Zweckbestimmung des Behandlungsvertrages ist das 
Speichern und Verabreiten von Patientendaten ohne explizite Einwilligung 
erlaubt. Man spricht von konkludenter Einwilligung, die sich aus dem Wunsch 
des Patienten nach sachgerechter Behandlung ergibt. 


Verweis: Zu den gesetzlichen Anforderungen an die Einwilligungserklärung 
siehe $ 4a Abs. 1 >BDSG; siehe dort auch den Sonderfall in $s 4a Abs. 2 BDSG, 
wenn im Bereich der wissenschaftlichen Forschung durch die Schriftform der 
bestimmte Forschungszweck erheblich beeinträchtigt würde; in einem sol- 
chen Fall kann u.U. auf das Erfordernis der Schriftlichkeit verzichtet werden. 


Elektronische Fallakte (EFA) 


Definition: Elektronische Fallakten sind eine - ggf. nur virtuelle - einrichtungs- 
übergreifende Zusammenführung behandlungsrelevanter Unterlagen zu 
einem >Behandlungsfall zur Unterstützung der intersektoralen Kooperation. 
Der Zweck der Datenverarbeitung ist der konkrete Behandlungsfall, das Ziel 
eine bessere Informierung der verschiedenen beteiligten ärztlichen Akteure. 
Im Regelfall bildet eine informierte -Einwilligung der Patienten die Rechts- 
grundlage. 
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Elektronische Gesundheitsakte (EGA) 


Definition: In einer Elektronischen Gesundheitsakte werden einrichtungsüber- 
greifend und behandlungsfallübergreifend gesundheitsrelevante Informatio- 
nenzu einem Patienten oder auch gesunden Bürger gespeichert und verarbeitet. 
Da die Datenhaltung in einer EGA weniger eindeutig zweckbezogen erfolgt als 
in einer >Elektronischen Fallakte, ist nicht nur eine informierte >Einwilligung 
des Betroffenen sondern darüber hinaus auch seine stärkere Einbindung in die 
Führung und Steuerung der EGA notwendig, bis hin zur eigenen Beisteuerung 
von Informationen. 


Erläuterung: Eine beispielhafte Regelung für eine EGA findet sich im Kontext 
der gesetzlichen Grundlagen der elektronischen Gesundheitskarte in $ 291a 
SGB V, dort als Elektronische Patientenakte (EPA) aufgeführt. 


EPA 


Elektronische Patientenakte, siehe >Elektronische Gesundheitsakte 


Epidemiologie 


Definition: Die Epidemiologie ist ein medizinisches Fachgebiet, das sich mitden 
Ursachen und Folgen sowie der Verbreitung von gesundheitsbezogenen Ein- 
flüssen und Ereignissen in einer Bevölkerung beschäftigt.» Die Epidemiologie 
untersucht somit jene Faktoren, die zu Gesundheit und Krankheit von Indi- 
viduen und Populationen beitragen und ist deshalb die Basis aller Maßnah- 
men, die im Interesse der Volksgesundheit unternommen werden. 


Verweis: siehe >epidemiologische Studie. 


Epidemiologische Studie 


Definition: Eine Studie, bei der Fragestellungen der Epidemiologie bearbeitet 
werden. 


Erläuterung: Die wichtigsten Studientypen sind 


>Querschnittstudien, 
>Längsschnittstudien, 
>Kohortenstudien, 
>Fall-Kontroll-Studien, 
>Interventionsstudien. 


Verweis: Leitlinien und Empfehlungen zur Guten Epidemiologischen Praxis der 
Deutschen Gesellschaft für Epidemiologie (DGEpi) [13] 


43 vergl. http://de.wikipedia.org/wiki/Epidemiologie (Abruf: 2014-08-27) 


212 


Glossar 


Ethik-Kommission 


Definition: >GCP-V $ 3 (2c): „Ethik-Kommission ist ein unabhängiges Gremium 
aus im Gesundheitswesen und in nichtmedizinischen Bereichen tätigen Per- 
sonen, dessen Aufgabe es ist, den Schutz der Rechte, die Sicherheit und das 
Wohlergehen von betroffenen Personen ... zu sichern und diesbezüglich Ver- 
trauen der Öffentlichkeit zu schaffen, indem es unter anderem zu dem Prüf- 
plan, der Eignung der Prüfer und der Angemessenheit der Einrichtungen so- 
wie zu den Methoden, die zur Unterrichtung der betroffenen Personen und 
zur Erlangung ihrer Einwilligung nach Aufklärung benutzt werden und zu 
dem dabei verwendeten Informationsmaterial Stellung nimmt.“ 


Erläuterung: „Der >Sponsor reicht in schriftlicher Form ... bei der zuständigen 
Ethik-Kommission einen Antrag auf zustimmende Bewertung der >klinischen 
Prüfung ein.“ [>GCP-V s 7 (1)]. Zudem gibt es im Arztrecht eine Pflicht, sich 
im Vorfeld eines Forschungsprojekts von einer Ethik-Kommission beraten zu 
lassen. 


Fall-Kontroll-Studie (FK-Studie) 


Definition: Eine Fall-Kontroll-Studie ist eine Form der >epidemiologischen Stu- 
die. Es handelt sich um eine retrospektive Untersuchung von einer Stichprobe, 
die aus erkrankten Personen besteht (Fälle) und einer Stichprobe, die aus ge- 
sunden Personen besteht (Kontrollen). + 


Erläuterung: Eine Fall-Kontroll-Studie geht methodisch den umgekehrten Weg 
einer >Kohortenstudie. Bei einer Fall-Kontroll-Studie ist der Krankheitsstatus 
bekannt und die Exposition (zunächst) unbekannt. Sie eignet sich insbeson- 
dere für seltene Erkrankungen, da eine Kohortenstudie sehr viele Teilnehmer 
haben müsste, um eine statistisch ausreichende Anzahl Erkrankter zu errei- 
chen. Die Studienpopulation der Fall-Kontroll-Studie besteht aus einer Fall- 
gruppe und einer >Kontrollgruppe. Erst nach der Zuordnung zu den beiden 
Gruppen wird die Exposition erfasst, um Beeinflussungen des Ergebnisses 
durch die Beobachter auszuschließen. 


FDB 
siehe >Forschungsdatenbank 
Finding 


Definition: Einzelnes, erwartetes oder unerwartetes, ärztliches Beobachtungs- 
oder Untersuchungsergebnis (vgl. »Befund). Wenn im Rahmen eines >For- 
schungsvorhabens umfangreiche medizinische Daten gesammelt werden, 


44 vergl. http://de.wikipedia.org/wiki/Fall-Kontroll-Studie (Abruf: 2014-08-27) 
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kann deren Auswertung z.T. auch nach Abschluss des Vorhabens zu Findings 
führen, über die ein Patient ggf. zu informieren ist. 


Forscher 


siehe >Nutzer. 


Forschungsdaten 


siehe >MDAT. 


Forschungsdatenbank (FDB) 


Definition: Datenbank, in der medizinische Daten aus den in einem >For- 
schungsverbund zusammengeschlossenen medizinischen Einrichtungen und 
Studien langfristig gesammelt werden. Zweck ist die wissenschaftliche Aus- 
wertung, auch über längere Zeiträume hinweg. Im Gegensatz zu einer >kli- 
nischen Datenbank beschränkt sich der Bezug zum Patienten nur auf die Mög- 
lichkeit, Daten aus verschiedenen Quellen und von anderen Zeitpunkten kor- 
rekt zusammenzuführen. 


Erläuterung: Eine FDB sammelt im Wesentlichen die im Forschungsverbund 
verfügbaren forschungsrelevanten Daten und bietet einen zeitlich und räum- 
lich weitgehend uneingeschränkten Zugriff auf Forschungsdaten, oft sogar 
mit der Möglichkeit, online Recherchen, Analysen und Verknüpfungen durch- 
zuführen. Ein unmittelbarer Einfluss der Datenzusammenführung auf klini- 
sche Prozesse wird 


nicht angestrebt, so dass die Forschungsdatenbank in einem reinen >For- 
schungszusammenhang angesiedelt ist. Die erhobenen Daten sind auch nicht 
in jedem Fall im unmittelbaren Behandlungsprozess gewonnen und dort ver- 
fügbar, sondern werden auch in speziellen Erhebungen generiert. 


Hinweise: Weil die Daten in der Regel nicht der klinisch motivierten Qualitäts- 
kontrolle unterliegen, ist vor der Übernahme der Informationen in die For- 
schungsdatenbank ein vorgeschaltetes >Qualitätssicherungssystem erforder- 
lich, welches im Feedback zur Datenquelle Mängel in der Plausibilität und 
Vollständigkeit der Daten minimiert. Die Forschungsdatenbank ist der zent- 
rale Datenpool im Modell B des bisherigen generischen Datenschutzkonzepts 
der TMF [1]. 


Forschungsnetz 


siehe Medizinischer Forschungsverbund. 


Forschungsverbund (Forschungsnetz) 


siehe Medizinischer Forschungsverbund. 
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Forschungsvorhaben (Studie) 


Definition: Medizinische Forschungsprojekte werden oft als Studien bezeichnet. 
Ziel einer solchen Studie sind neue Erkenntnisse über Entstehung, Verlauf, 
Diagnose, Behandlung von Krankheiten oder deren Langzeitauswirkungen. 


Erläuterung: Ein Forschungsvorhaben kann in unterschiedlichen Formen durch- 
geführt werden. Am meisten verbreitet sind dabei >klinische Studien, also 
die wissenschaftliche Auswertung diagnostischer und therapeutischer Maß- 
nahmen am kranken Patienten, und >epidemiologische Studien, also die be- 
völkerungsbezogene Untersuchung einer Erkrankung und ihrer Ursachen. Bei 
vielen Studien (sog. kontrollierten Studien) wird neben einer Gruppe von Pa- 
tienten auch eine >Kontrollgruppe benötigt. 


Hinweise: Methodische Grundlagen sind u.a. molekulargenetische Analysen 
und statistische Auswertungen. 


Forschungszusammenhang (Forschungskontext) 


Definition: Daten und Proben, mit denen >Forschungsvorhaben durchgeführt 
werden, stehen im Forschungszusammenhang. 


Erläuterung: Sie können direkt im Forschungszusammenhang erhoben oder aus 
dem »Behandlungszusammenhang in den Forschungszusammenhang über- 
führt werden. Im Forschungszusammenhang werden Daten und Proben auch 
erhoben, wenn zum Zeitpunkt ihrer Gewinnung bereits klar ist, dass diese 
unabhängig von einer konkreten Behandlung oder in Ergänzung ihrer Ver- 
wendung im >Behandlungszusammenhang in eine Datenbank für die For- 
schung integriert werden sollen. In diesem Fall ist der Patient oder Proband, 
soweit dies zum Zeitpunkt der Daten- oder Probengewinnung schon möglich 
ist, ausführlich über die geplante Verwendung aufzuklären, und seine schrift- 
liche >Einwilligung ist einzuholen. 


Verweise: Weitere Einzelheiten dazu auch bei den Begriffen >Patienteninfor- 
mation, >Einwilligungserklärung und Widerruf. 


GCP 


siehe >Good Clinical Practice. 


GCP-V 
siehe >GCP-Verordnung 


GCP-Verordnung (GCP-V) 


Definition: Verordnung über die Anwendung der Guten Klinischen Praxis bei der 
Durchführung von klinischen Prüfungen mit Arzneimitteln zur Anwendung 
am Menschen. 
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Verweise: siehe auch >Good Clinical Practice, GCP-V im Internet unter http:// 
www.gesetze-im-internet.de/gcp-v 


Genbank 


siehe >Biobank. 


Gewebebank 


siehe >Biobank. 


Good Clinical Practice (GCP Gute Klinische Praxis) 


Definition: Good Clinical Practice bezeichnet nach ethischen und praktischen 
Gesichtspunkten aufgestellte, vom aktuellen Stand der wissenschaftlichen 
Erkenntnis abhängige Regeln für die Durchführung von medizinischen Be- 
handlungen oder klinischen Tests. # 


Erläuterung: „Der >Sponsor, der >Prüfer und alle weiteren an der >klinischen 
Prüfung beteiligten Personen haben bei der Durchführung der klinischen Prü- 
fung eines Arzneimittels bei Menschen die Anforderungen der guten klini- 
schen Praxis nach Maßgabe des Artikels ı Abs. 3 der Richtlinie 2001/20/EG ein- 
zuhalten.“ [AMG $ 40] 


Ergänzt werden die GCP-Leitlinien durch Leitlinien für die Herstellung der 
eingesetzten Arzneimittel und der Medizinprodukte (GMP, Good Manufactur- 
ing Practice) sowie die im Rahmen der Studie benötigten Leistungen der 
Labormedizin (GLP, Gute Laborpraxis). 


Organisationen, die solche Regelsätze entwerfen, sind im europäischen Raum 
die Europäische Arzneimittelagentur (EMEA) und international die Interna- 
tional Conference on Harmonisation of Technical Requirements for Registra- 
tion of Pharmaceuticals for Human Use (ICH). 


Verweise: http://www.ich.org/, http://www.emea.europa.eu/, >GCP-V 


Grid (Grid-Computing) 


Definition: Über ein Netzwerk verbundene Rechen- und Speicherressourcen, die 
von jedem Anschluss an das Netzwerk aus genutzt werden können. Bei Bedarf 
kann durch parallele Nutzung von Ressourcen deutlich mehr Speicher- oder 
Rechenleistung abgerufen werden als einzelne Rechenzentren typischerweise 
liefern. 


Erläuterung: Wie beim >Cloud-Computing ist ein Hauptmotiv für die Bereitstel- 
lung und Nutzung von Grids die ökonomischere Auslastung von Hardware- 


45 vergl. http://de.wikipedia.org/wiki/Good_Clinical_Practice (Abruf: 2014-08-27) 
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Ressourcen und die Möglichkeit, kurzfristig Ressourcen in einem Umfang zu 
nutzen, der bei vollständiger eigener Vorhaltung unbezahlbar wäre. 


Verweis: Eine Einführung in den Aufbau einer Grid-Infrastruktur für die For- 
schung gibt [46]. Für eine Abgrenzung zum >Cloud-Computing siehe [43]. 
Sicherheits- und Datenschutzaspekte im Grid werden in [47] behandelt. 


Gute wissenschaftliche Praxis 


Definition: Allgemein anerkannte ethische Grundsätze, wie wissenschaftliche 
Vorhaben durchzuführen sind. 


Erläuterung: In Deutschland vor allem definiert in den Empfehlungen der DFG- 
Kommission „Selbstkontrolle in der Wissenschaft.“: „Wissenschaftliche 
Arbeit beruht auf Grundprinzipien, diein allen Ländern und in allen wissen- 
schaftlichen Disziplinen gleich sind. Allen voran steht die Ehrlichkeit gegen- 
über sich selbst und anderen.“ 


Verweise: http://www.dfg.de/, Leitlinien für gute epidemiologische Praxis on- 
line unter http://www.dgepi.de/doc/Empfehlungen.doc. 
IDAT = Personendaten oder identifizierende Stammdaten 


Definition: Personenidentifizierende Daten umfassen Name, Geburtsort, Geburts- 
datum usw. des Patienten oder Probanden. 


Erläuterung: Sie werden vom Arzt oder der Klinik bzw. dem Studienzentrum er- 
hoben und je nach Organisation des Forschungsverbundes bei der erhebenden 
Stelle oder in einer zentralen >Patientenliste gespeichert. Es ist auch möglich, 
dass die IDAT bei beiden Stellen gespeichert werden. 

Identitätsmanagement 


siehe >Patientenliste. 


IT 


siehe >Investigator Initiated Trial. 


Informationelles Selbstbestimmungsrecht 


siehe >Selbstbestimmungsrecht 


Informed Consent 


siehe >Einwilligungserklärung. 
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Interventionelle Studie. 


siehe >Interventionsstudie. 


Interventionsstudie (interventionelle Studie) 


Definition: Studie, bei der zumindest bei einem Teil der Probanden ein definier- 
ter Eingriff, z.B. eine therapeutische Maßnahme, vorgenommen wird, deren 
Effekt untersucht werden soll. 


Erläuterung: Es wird also nicht nur beobachtet, was ohne gezielte Beeinflussung 
ohnehin geschieht, im Gegensatz zu einer Beobachtungsstudie. Sowohl 
klinische als auch >epidemiologische Studien können interventionell sein. 


In der Epidemiologie verfolgt eine Interventionsstudie ähnlich einer prospek- 
tiven >Kohortenstudie eine Population entlang der Zeit, wobei man den Ein- 
fluss einer spezifischen Intervention, meist eine neue Behandlung oder ein 
neues Medikament, auf das Krankheitsrisiko messen möchte. Vor der Studie 
wird die Population in den Interventionszweig und den Kontrollzweig geteilt. 
Während der Studie wird dann aktiv diese Intervention (z.B. Medikament) 
gegeben, während die >Kontrollgruppe unbehandelt bleibt bzw. eine nicht- 
wirksame Behandlung bekommt (z.B. Placebo). 


Investigator Initiated Trial (IIT, wissenschaftsgetriebene Studie) 


Definition: >Klinische Studie, der primär ein wissenschaftliches Interesse zu- 
grunde liegt und die entsprechend im Regelfalleine akademische Einrichtung 
als >Sponsor hat. Abzugrenzen davon sind klinische Studien mit einem kom- 
merziellen Interesse, z.B. im Rahmen eines Zulassungsverfahrens. Diese ha- 
ben entsprechend einen Pharma- oder Medizinprodukte-Hersteller als Spon- 
sor. 


Erläuterung: Seit der 12. AMG-Novelle unterliegen IITs und kommerzielle Studien 
denselben gesetzlichen Anforderungen. 


IT-Grundschutz 


Definition: Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) he- 
rausgegebene Sammlung von Mindestanforderungen und entsprechenden 
Anleitungen zur Absicherung von Computern und Netzen. 


Erläuterung: IT-Grundschutz bietet eine einfache Methode, dem Stand derTech- 
nik entsprechende IT-Sicherheitsmaßnahmen zu identifizieren und umzu- 
setzen. Das BSI stellt zahlreiche Werkzeuge zur Verfügung, um ein angemes- 
senes Sicherheitsniveau zu erreichen, wie z.B. die BSI-Standards zum IT-Si- 
cherheitsmanagement, die IT-Grundschutz-Kataloge und das GSTOOL. Dazu 
gehört aber auch die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz, 
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die sowohl eine Prüfung des IT-Sicherheitsmanagements als auch der konkre- 
ten IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz umfasst. Die 
IT-Grundschutz-Kataloge beinhalten die Baustein-, Maßnahmen- und Gefähr- 
dungskataloge. 


Hinweis: Das „IT-Grundschutzhandbuch“ heißt seit der Version 2005 „IT-Grund- 
schutz-Kataloge“. 


Verweis: http://www.bsi.de/gshb/ 


k-Anonymität 


Definition: Eine Datensammlung ist k-anonym, wenn die Kombination der auch 
in anderen Datensammlungen vorhandenen Attribute in k verschiedenen 
Datensätzen innerhalb der Datensammlung vorkommt, anders ausgedrückt, 
wenn es mindestens k Datensätze gibt, auf die das externe Wissen passt. Als 
andere Datensammlungen sind diejenigen zu berücksichtigen, die einem 
potenziellen Angreifer zum Abgleich zur Verfügung stehen könnten. 


Erläuterung: Als andere Datensammlungen sind insbesondere öffentlich verfüg- 
bare oder soziodemographische Datenzusammenstellungen zu berücksichti- 
gen. Das Grundprinzip kann auch auf pseudonymisierte Datensammlungen 
übertragen werden. 


Klinische Datenbank 


Definition: Datenbank, in der medizinische Daten aus dem Behandlungsprozess 
der in einem medizinischen Forschungsverbund zusammengeschlossenen 
medizinischen Einrichtungen langfristig gesammelt werden. Zweck ist neben 
der wissenschaftlichen Auswertung auch die Verbesserung der einrichtungs- 
übergreifenden Kooperation bei der Behandlung komplexer oder auch chroni- 
scher Erkrankungen. Im Gegensatz zu einer >Forschungsdatenbank wird ein 
engerer Bezug zum Patienten aufrecht erhalten. 


Erläuterung: Hier steht die unmittelbare Ableitung der wissenschaftlichen Daten 
aus dem Behandlungsprozess im Mittelpunkt. Durch die zeitnahe Zusammen- 
führung der Daten aus dem Behandlungsprozess für Forschungszwecke kann 
als Nebeneffekt die klinische Befundkommunikation verbessert werden. >Be- 
handlungs- und >Forschungszusammenhang gehen hier ineinander über, 
was erhöhte Sorgfalt bei der Gestaltung von Zugriffsregelungen erfordert. 


Hinweise: Die wissenschaftliche Nutzung der in einer klinischen Datenbank 
zusammengeführten Informationen kann, darfund soll nicht online erfolgen, 
sondern nur im asynchronen Zugriff auf eigens an die wissenschaftliche Fra- 
gestellung adaptierte, exportierte Teilmengen der Behandlungsdaten. Die 
klinischen Daten können durch die im Behandlungsprozess vorhandenen qua- 
litätssichernden Maßnahmen überprüft werden, ein Rückgriff auf die Daten- 


219 


Verzeichnisse 


quelle beim Export der Forschungsdaten ist nicht notwendig. Die klinische 
Datenbank ist der zentrale Datenpool im bisherigen Modell A des generischen 
Datenschutzkonzepts. 


Verwandter Begriff: »Studiendatenbank. 


Klinische Prüfung 


siehe >Klinische Studie. 


Klinische Studie (klinische Prüfung) 


Definition: Eine klinische Studie dient zur Prüfung des Einflusses einer medizi- 
nischen Behandlung auf eine Krankheit unter kontrollierten Randbedingun- 
gen; Gegenstand einer klinischen Studie kann auch die Prüfung einer präven- 
tiven oder diagnostischen Maßnahme sein. 


Erläuterung: Eine klinische Studie ist ein Forschungsvorhaben, bei dem der Nut- 
zen eines präventiven, diagnostischen oder therapeutischen Verfahrens ge- 
prüft werden soll. Man unterscheidet interventionelle klinische Prüfungen 
(>Interventionsstudien), die einem festen Studienprotokoll folgen und oft 
durch das AMG (>Arzneimittelgesetz) oder MPG (>Medizinprodukte-Gesetz) 
geregelt sind; solche Studien können sein: 


= Präventionsstudien, 
= Therapievergleiche, 
= -+Therapieoptimierungsstudien, 


sowie >nichtinterventionelle Prüfungen (sonstige Studien), die nicht dem 
AMG oder MPG unterliegen; dies können z.B. sein: 


= Studien zur Anwendung bestimmter Produkte am Menschen (Diät-Nah- 
rungsmittel, Hautdesinfektionsmittel, Kosmetika, Produkte zur Ge- 
sundheitsvorsorge, ...), 

= Evaluation diagnostischer Verfahren oder nichtmedikamentöser thera- 
peutischer Verfahren, 

= Belastbarkeits- oder Eignungsstudien. 


klinischer Datenmanager (Clinical Data Manager, CDM) 


siehe »Datenmanager 


Kohorte (Kohortenstudie) 


Definition: Eine Kohortenstudie untersucht eine definierte Gruppe von Men- 
schen („Kohorte“) mit und ohne Exposition mit einem Risikofaktor über eine 
längere Zeit und misst am Ende des Beobachtungszeitraums den Erkrankungs- 
status. 
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Erläuterung: Aus der Anzahl Erkrankter unter den Exponierten dividiert durch 
die Gesamtzahl an Exponierten kann das Risiko der Exponierten für diese Er- 
krankung gemessen werden. Analog verfährt man für die Nicht-Exponierten. 
Das Verhältnis des Risikos der Exponierten zum Risiko der Nicht-Exponierten 
ist das relative Risiko; es gibt an, wie stark die Exposition das Risiko der Er- 
krankung erhöht. 


Konsil 


Definition: Als Konsil bezeichnet man in der Medizin die patientenbezogene Be- 
ratung eines Arztes durch einen ärztlichen Kollegen, meist einen Facharzt. 


Erläuterung: Der Begriff findet häufigim Krankenhaus Anwendung, wenn ein 
Arzt einer anderen Fachrichtung hinzugezogen wird. Der beauftragte Arzt 
(Konsiliarius) legt seine Empfehlungen zur Diagnostik oder Therapie meist 
schriftlich nieder. Während der Konsiliarius in die Behandlung eingebunden 
ist und im Regelfall die Identität des Patienten kennt, entweder aufgrund 
eigener Untersuchungen oder der Vorlage entsprechender Unterlagen, wird 
die Referenzbefundung im Rahmen klinischer Studien und hier insbeson- 
dere in »multizentrischen Studien im Regelfall »pseudonymisiert durchge- 
führt. Weitere Ausführungen bei Dierks [22]. 


Kontrollgruppe 


Definition: Diejenigen Patienten oder Probanden, die 


= bei einer klinischen Studie nicht mit dem zu untersuchenden Thera- 
pieverfahren behandelt werden, 

= beieiner epidemiologischen >Kohortenstudie nicht der zu untersuchen- 
den Exposition ausgesetzt sind, 

m beieiner epidemiologischen >Fall-Kontroll-Studie nicht das zu untersu- 
chende Krankheitsbild entwickelt haben. 


Erläuterung: Durch den Vergleich von Fall- bzw. Behandlungs- und Kontroll- 
gruppe werden valide Aussagen über den Effekt gewonnen. Die Zuordnung 
zur Behandlungsgruppe und Kontrollgruppe ist der kritische Punkt einer 
>Interventionsstudie, da sich die Teilnehmer in ihren Gesundheitsparame- 
tern unterscheiden und man nur den Einfluss der Intervention und nicht die- 
ser Parameter messen möchte. Erfolgt diese Auswahl zufällig und damit nicht 
gerichtet, spricht man von einerrandomisierten, kontrollierten Studie (engl. 
randomised controlled trial). Diese Studien haben eine besonders starke Kau- 
salität in Bezug auf Intervention und Krankheitsstatus und werden daher in 
der Medikamententestung eingesetzt. Je nach Fragestellung kann die Kont- 
rollgruppe aus Gesunden oder Kranken bestehen. 


46 vergl. http://de.wikipedia.org/wiki/Konsil (Abruf: 2014-08-27) 


221 


Verzeichnisse 


Kontrollierte Studie 


>Forschungsvorhaben, >Kontrollgruppe. 


LabID = Probennummer 


Definition: Die LabID bezeichnet die ursprüngliche Nummer der Probe, die ent- 
weder von der probengewinnenden Stelle oder von der Probenbank vergeben 
wird. 


Erläuterung: Bei der LabID kann es sich auch um einen Barcode handeln, der 
maschinenlesbar ist und maschinell weiterverarbeitet werden kann. Wird 
eine Probe aliquotiert, so können für die Teilproben zusätzliche LabIDs verge- 
ben werden (LabID_2, LabID_3 etc.), deren Zuordnung zur LabID der Mutter- 
probe allerdings in der Probenbank gespeichert werden sollte. Die LabID wird 
entweder durch die probengewinnende Stelle oder durch das verarbeitende 
bzw. analysierende Labor an die zentrale Datenbank gemeldet. In der zentra- 
len Datenbank wird statt der LabID eine transformierte (codierte, >»pseudony- 
misierte) LabID,, gespeichert, um eine direkte Zuordnung von Datensatz und 
Probe zu vermeiden. 


Landesdatenschutzgesetze (LDSG) 


Definition: Regeln subsidiär (nachgeordnet zu anderen Gesetzen) den Umgang 
mit >personenbezogenen Daten zur Sicherung des Rechts auf >informatio- 
nelle Selbstbestimmung. Anwendungsbereich sind die öffentlichen Einrich- 
tungen der Länder. Zudem legen die LDSG die Datenschutzaufsicht für die 
öffentlichen Einrichtungen der Länder und die nicht-öffentlichen Einrich- 
tungen fest. 


Erläuterung: In Deutschland gibt es 16 leicht unterschiedliche LDSG. 


Längsschnittstudie 


Definition: Eine Längsschnittstudie erhebt regelmäßig Daten der Studienpopu- 
lation über einen längeren Zeitraum hinweg. 


Erläuterung: Eine Längsschnittstudie entspricht also einer Folge von periodisch 
wiederholten >Querschnittstudien. 


Leitlinie 
siehe >Policy 


Material 


siehe >Probe. 
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MDAT = Forschungsdaten oder medizinische Daten 


Definition: MDAT ist die übergreifende Bezeichnung für Daten, diezum Zwecke 
der Forschung in der zentralen Datenbank eines »medizinischen Forschungs- 
verbundes gespeichert werden. MDAT umfassen in der Regel klinische Sach- 
verhalte wie >Befunde und Diagnosen sowie soziodemographische Daten, die 
eine entsprechende Klassifikation des Patienten oder Probanden zu wissen- 
schaftlichen Zwecken erlauben. 


Erläuterung: Zu den soziodemographischen Daten gehören neben Alter, Ge- 
schlecht und Bildung auch Lifestylefaktoren wie etwa Ernährungsgewohn- 
heiten sowie Umweltdaten, die eine relevante Exposition des Patienten gegen- 
über Klima, Luftverschmutzung oder Lärm näher charakterisieren. Mit dem 
medizinischen Datensatz werden auch die „sonstigen Begleitdaten“ (s. >Org- 
DAT) gespeichert, die unter anderem das Vorliegen der Einwilligungserklä- 
rung, den Ort der Archivierung, den Umfang der Einwilligung, die Identität 
behandelnder Ärzte und die Daten erhebende Stelle umfassen. 


Medizinischer Forschungsverbund (Medizinisches Forschungsnetz) 


Definition: Ein medizinischer Forschungsverbund ist eine vernetzte Organisa- 
tion mit dem Zweck, Daten oder Proben für die medizinische Forschung zu 
sammeln, langfristig aufzubewahren und für verschiedene, oft noch nicht 
feststehende wissenschaftliche Fragestellungen (>Forschungsvorhaben, Stu- 
dien) auszuwerten. 


Erläuterung: Der Begriff „medizinischer Forschungsverbund“ wurde als Ober- 
begriff gewählt; er umfasst medizinische Kompetenznetze, Koordinierungs- 
zentren für klinische Studien, Biomaterialbanken und andere, meist krank- 
heitsspezifische Forschungsnetze und Register. In vielen Fällen gibt es eine 
enge Verzahnung mit der medizinischen Versorgung, d.h., »Behandlungs- 
zusammenhang und »Forschungszusammenhang gehen ineinander über. In 
manchen Situationen, z.B. bei seltenen Erkrankungen, ist sinnvolle klinische 
Forschung erst durch die Vernetzung möglich. Ein Forschungsverbund kann 
eine lose Kooperation von Forschern verschiedener Kliniken, aber auch eine 
öffentlich rechtliche oder privatrechtliche Organisation sein. 


Hinweise: Die TMF begreift sich als Dachverband für medizinische Forschungs- 
verbünde; die Definition entspricht der Satzung der TMF. Siehe auch Träger. 


Medizinprodukte-Gesetz (MPG) 


Definition: Das Medizinprodukte-Gesetz enthält die technischen, medizinischen 
und Informations-Anforderungen sowie Betreiber- und Anwendervorschriften 
für Medizinprodukte. 
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Erläuterungen: Medizinprodukte sind Instrumente, Apparate, Vorrichtungen, 
Stoffe oder andere Gegenstände einschließlich Software. Sie werden in vier 
Klassen 


= I: nichtinvasiv, geringes Risiko (Beispiele: Augenklappen, Thermometer), 
= Ila: mittleres Risiko, kurze Anwendung (Beispiel: OP-Handschuhe), 

= IIb: mittleres Risiko, Langzeitanwendung (Beispiel: Blutbeutel), 

= III: hohes Risiko (Beispiel: Venenverweilkatheter) 


eingeteilt. 


Grundlegend für diesen Rechtsbereich ist die EU-Richtlinie 93/42/EWG. Diese 
Richtlinie wurde mit dem am 1. Januar 1995 in Kraft getretenen Medizinpro- 
dukte-Gesetz in deutsches Recht umgesetzt. 


Verweis: http://bundesrecht. juris.de/mpg/ 


Medizinprodukte-Studie (MPG-Studie) 


Definition: Eine solche Studie dient der Bewertung eines Medizinprodukts (z.B. 
Messgeräts) und hat als Ziel, die Konformität des Produkts mit den Anforde- 
rungen des Medizinprodukte-Gesetzes festzustellen; das Erreichen des Ziels 
wird durch ein CE-Kennzeichen bestätigt. 


Erläuterung: Klinische Prüfungen zur Konformitätsbewertung sind im MPG nur 
für Produkte der Klasse III (hohes Risiko) vorgeschrieben. Als >GCP für Medi- 
zinprodukte gelten die Normen EN-ISO 14155-1/2. 


Mehrwertdienst 


Definition: Technische Umsetzung von Anwendungen, die von der Telematik- 
Infrastruktur (TI) entweder nur Transportfunktionen oder auch Basisdienste 
nutzen und über die in $ 291a SGB V definierten Anwendungsbereiche hinaus- 
gehen. 


Meldung unerwünschter Ereignisse 


>unerwünschtes Ereignis. 


Monitor (Klinischer Monitor, Clinical Research Associate, CRA) 


Definition: Der Klinische Monitor überwacht >Klinische Prüfungen, insbeson- 
dere nach >Arzneimittelgesetz. 


Erläuterung: Das Monitoring umfasst die Kontrolle der Durchführung nach den 
Vorgaben der >Guten Klinischen Praxis (>Good Clinical Practice), der Dekla- 
ration von Helsinki und der entsprechenden Gesetze und Bestimmungen (u.a. 
>Arzneimittelgesetz, >Medizinprodukte-Gesetz) der einzelnen Länder, in 
denen die klinische Prüfung durchgeführt wird. Des Weiteren kontrolliert der 
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Monitor die Durchführung entsprechend der Vorgaben des >Prüfplans, die 
Dokumentation der entsprechenden Dokumentationsbögen und den Gebrauch 
der Studienmedikation.* Da Monitore im Rahmen der Überprüfung der Kor- 
rektheit der erfassten Daten auch Einblick in die Patientenakte als Quelldo- 
kumentation erhalten, sind Patienten im Rahmen der >Einwilligung über 
diesen Zugriff auf -personenbezogene Daten durch Dritte zu informieren. 


Hinweis: In einem allgemeineren Sinn kann Monitor auch eine (meist) techni- 
sche Überwachungseinrichtung bezeichnen. 


MPG 


siehe >Medizinprodukte-Gesetz 


Multizentrische Studie 


Definition: Eine Studie, die in mehreren Institutionen („Studienzentren“) durch- 
geführt wird. >GCP-V s 3 (1): „Multizentrische klinische Prüfung ist eine nach 
einem einzigen »Prüfplan durchgeführte >klinische Prüfung, die in mehr als 
einer Prüfstelle erfolgt und daher von mehr als einem >Prüfer vorgenommen 
wird, wobei sich die weiteren Prüfstellen auch in anderen Mitgliedstaaten der 
Europäischen Union oder in Ländern befinden können, die nicht Mitglied- 
staaten der Europäischen Union sind.“ 


Erläuterung: Eine multizentrische Studie kann aus verschiedenen Gründen 
durchgeführt werden: 


= An einzelnen Institutionen sind nicht genügend große Fallzahlen ver- 
fügbar. 

= Der Einfluss von lokalen Faktoren (wie z.B. Anzahl und Qualifikation 
der behandelnden Ärzte oder verzerrte Auswahl von Probanden) auf das 
Studienergebnis soll bewertet oder gering gehalten werden. 

= Eine weite Kooperation der Experten wird angestrebt. 


Aus diesen Gründen sind die in medizinischen Forschungsverbünden durch- 


geführten Studien typischerweise multizentrisch. 


Nichtinterventionelle Prüfung 


siehe >nichtinterventionelle Studie. 


Nichtinterventionelle Studie (nichtinterventionelle Prüfung) 


Definition: Eine nichtinterventionelle Studie ist eine Untersuchung, in deren 
Rahmen Erkenntnisse aus der Behandlung von Personen mit Arzneimitteln 
gemäß den in der Zulassung festgelegten Angaben für deren Anwendung an- 


47 vergl. http://de.wikipedia.org/wiki/Klinischer_Monitor (Abruf: 2014-08-27) 
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hand epidemiologischer Methoden analysiert werden; dabei folgt die Behand- 
lung einschließlich der Diagnose und Überwachung nicht einem vorab festge- 
legten >Prüfplan, sondern ausschließlich der ärztlichen Praxis.“ [>AMG ș 4 (3)] 


Erläuterung: Es wird nur beobachtet, was während einer Behandlung nach ärzt- 
licher Routine ohnehin passiert; die Behandlung wird nicht durch Festlegun- 
gen eines Studienprotokolls beeinflusst. Auch biomedizinische Forschung am 
Menschen oder epidemiologische Forschung mit >personenbezogenen Daten 
wird oft hier eingeordnet; diese Studientypen sind in der Regel nichtinterven- 
tionell. Siehe auch >Beobachtungsstudie. 


Nutzer, Forscher, Kunde eines medizinischen Forschungsverbunds 


Definition: Jeder, der die in einem >medizinischen Forschungsverbund vorhan- 
dene Daten oder Proben für ein >Forschungsvorhaben nutzt. 


Erläuterung: Da Daten und Proben des medizinischen Forschungsverbunds für 
Forschungszwecke genutzt werden sollen, sind die Nutzer stets Forscher. Sie 
können der >Trägereinrichtung der Verbundes selbst angehören (= interne 
Forschung) oder aus anderen Einrichtungen kommen (= externe Forschung). 
Der Forscher als Nutzer tritt mit seinen Anforderungen (Spezifikation der Er- 
krankung, Randparameter wie Alter und Komorbiditäten, Anforderungen an 
die Daten oder Proben bzw. deren Analyse usw.) an den Forschungsverbund 
heran und erhält nach Durchlaufen eines geregelten Verfahrens Daten und 
gegebenenfalls auch Proben auf der Grundlage eines Abgabevertrags. Gehört 
der Forscher einer gewerblichen Einrichtung (etwa einem Pharma-Unterneh- 
men) an und handelt auch der Forschungsverbund erwerbswirtschaftlich, hat 
der Forscher die Funktion eines Kunden. 


Nutzungsordnung 


siehe >Policy. 


OrgDAT = Organisationsdaten 


Definition: OrgDAT sind Begleitdaten eines Datensatzes oder einer Probe, die an 
unterschiedlichen Stellen erhoben werden können. 


Erläuterung: Beispielsweise erfasst eine Proben gewinnende Stelle die Probenart 
und gegebenenfalls die Informationen zu Probenentnahme und Präanalytik. 
In der Probenbank werden die Begleitdaten einer Probe mit weiteren Informa- 
tionen wie etwa den Umständen von Konservierung, Lagerung und Qualität 
gespeichert. Siehe auch >ADAT. 


Patient 


siehe >Proband. 
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Patientenaufklärung 


siehe >Patienteninformation. 


Patientenidentifikator 
siehe >PID. 


Patienteninformation (Aufklärung) 


Definition: Mitteilung an den Teilnehmer eines >Forschungsvorhabens, was 
mit seinen Daten und ggf. Proben passieren wird. 


Erläuterung: Die Patienteninformation bildet dieinformationelle Grundlage für 
die nachfolgende >Einwilligungserklärung des Patienten oder Probanden in 
den Umgang des Forschungsverbundes mit den gewonnenen Daten und Pro- 
ben („informed consent“). Die Patienteninformation enthält eine Fülle von 
Einzelangaben (Items), die dem Einwilligenden die Tragweite seiner nachfol- 
genden Einwilligungserklärung vor Augen führen soll. Für die Datenerhebung 
im Rahmen klinischer Studien wurden Modelle solcher Patienteneinwilli- 
gungen entwickelt, die von der TMF auf die Besonderheiten bei >medizini- 
schen Forschungsverbünden angepasst wurden. 


Verweis: Vgl. zu den Einzelheiten [5]. 


Patientenliste (Identitätsmanagement für Patienten) 


Definition: Zentrales Verzeichnis, das die Zuordnung von Patientenidentitäten 
(>IDAT) zu nichtsprechenden Identifikatoren (>PID) enthält. 


Erläuterung: Da hier Identifikationsdaten verwaltet werden, besteht für die Pa- 
tientenliste ein besonders hoher Anspruch auf Vertraulichkeit, d.h. insbeson- 
dere auf technischen Schutz. 


Personenbezogenheit, Personenbeziehbarkeit 


Definition: „Personenbezogene Daten sind Einzelangaben über persönliche oder 
sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Per- 
son (Betroffener).“ [>BDSG $ 3 (1)] 


Erläuterung: Bei Daten bzw. Biomaterialien beziehen sich die Einzelangaben auf 
den Datensatz oder die Probe (Name des Probanden, Angaben zu dessen Ge- 
sundheitszustand usw.) oder ergeben sich aus der Probe bzw. deren Analyse, 
bei der etwa die genetische Ausstattung des Probanden ermittelt werden kann. 


Man unterscheidet bei der Ausgestaltung des Personenbezugs eine grundsätz- 
liche Personenbeziehbarkeit von der tatsächlichen Personenbezogenheit. Per- 
sonenbeziehbarkeit setzt voraus, dass Angaben theoretisch einer Person zu- 
geordnet werden können. Personenbezogenheit liegt dann vor, wenn diese 
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Zuordnung auch tatsächlich, ohne Aufwand vorgenommen werden kann, z.B. 
wenn die Person direkt und offen lesbar benannt wird. Das Gegenstück zur 
Personenbeziehbarkeit ist die Anonymität (s. Anonymisierung). Eine Redu- 
zierung der Personenbezogenheit erfolgt durch die »Pseudonymisierung. 


Die befugte Wiederherstellung des Personenbezugs eines pseudonymisierten 
Datensatzes oder einer pseudonymisierten Probe erfolgt im Wege der >De- 
pseudonymisierung. 


Die unbefugte Wiederherstellung der Personenbezogenheit einer anonymi- 
sierten oder pseudonymisierten Probe wird als >Reidentifizierung bezeichnet. 
Um dies zu verhindern, ist das Rückidentifizierungsrisiko abzuschätzen, oft 
für jeden Einzelfall. 


Hinweis: Zur Definition der Personenbezogenheit von Daten gibt es internatio- 
nal unterschiedliche Auffassungen; das betrifft z.B. die Fragen: Sind pseud- 
onyme Daten personenbeziehbar? Wie wird mit indirekter Personenbezieh- 
barkeit umgegangen? 


Verweise: Zur allgemeinen Legaldefinition der Personenbezogenheit vgl. $ 3 
Abs. ı BDSG; zu den Daten aus Proben und Analysen der Proben vgl. [2 S. 12ff]. 


PID = Patientenidentifikator 


Definition: Der PID ist der eindeutige Ordnungsparameter für einen in einen 
Forschungsverbund eingeschlossenen >Patienten oder Probanden. 


Erläuterung: Die Erzeugung des PID wird durch die anmeldende Stelle veranlasst. 
Der PID wird gemeinsam mit den >IDAT in der >Patientenliste gespeichert. 
In der Regel soll der PID nichtsprechend sein; er kann dann als Pseudonym 
erster Stufe dienen. 


Policy (Richtlinie, Leitlinie, Sicherheitspolicy, Regelwerke, Nutzungsordnung) 


Definition: Policies und Nutzungsordnungen stellen Regelwerke für zentrale 
Dienste bereit, die das Sicherheitspotenzial der eingesetzten technischen Ins- 
trumente sowie den Zugriff und die Verwendung geschützter Daten festlegen 
und organisatorisch in definierten Verantwortlichkeiten verankern. Die Be- 
treiber und die Nutzer werden über die notwendigen Maßnahmen und Abläu- 
fe informiert und zu einem planmäßigen, regelgerechten Handeln verpflichtet. 


Erläuterung: Richtlinien sind meist von Institutionen veröffentlichte Regeln des 
Handelns und Unterlassens, die dem einzelnen Anwender einen geringen Er- 
messensspielraum einräumen. Ihre Nichtbeachtung kann Sanktionen nach 
sich ziehen. Eine ähnliche Verbindlichkeit wie Richtlinien haben Standards, 
die als normative Vorgaben bezüglich der Erfüllung von Qualitätsanforderun- 
gen verstanden werden und durch ihre in der Regel exakte Beschreibung einen 
mehr technisch-imperativen Charakter haben. Demgegenüber sind Leitlinien 
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systematisch entwickelte Entscheidungshilfen über angemessene Vorgehens- 
weisen bei speziellen (in der Medizin: diagnostischen und therapeutischen) 
Problemstellungen, von denen in begründeten Einzelfällen auch abgewichen 
werden kann. Sie lassen dem Anwender also einen Entscheidungsspielraum. 


Für alle klinikübergreifenden Dienste in einem >Forschungsverbund sind die 
Auftragsbedingungen und Nutzungsordnungen festzulegen, welche die Maß- 
nahmen zum Datenschutz konkretisieren. 


Hinweis: Der englische Begriff Policy bezeichnet die inhaltliche Dimension von 
Politik. 


Principal Investigator (Studienleiter) 


Definition: Der Forscher, der die wissenschaftliche Hauptverantwortung für die 
>Studie trägt. „Wird eine Prüfung in mehreren Prüfstellen durchgeführt, wird 
vom >Sponsor ein >Prüfer als Leiter der >klinischen Prüfung benannt.“ 
[>AMG 54] 


Erläuterung: Bei “Arzneimittelstudien ist der Studienleiter meistens kein An- 
gestellter des Sponsors. Bei >Therapieoptimierungsstudien, die nicht dem 
AMG unterliegen, nimmt der Studienleiter oft im Sinne eines >Konsils Ein- 
fluss auf die Behandlung. 


Proband, Patient 


Definition: Patient und Proband sind die Personen, die dem >Forschungsver- 
bund Daten zu ihrer Gesundheit und Materialien ihres Körpers zu Zwecken 
der biomedizinischen Forschung zur Verfügung stellen. Erfolgt die Datenge- 
winnung oder Probenentnahme im >Behandlungszusammenhang, ist der 
Spender „Patient“. Erfolgt die Datengewinnung oder Probenentnahme im 
>Forschungszusammenhang, ist der Spender „Proband“. Der Begriff „Pro- 
band“ wird auch als Oberbegriff für „Patient und/oder Proband“ verwendet, 
insbesondere, wenn eine >Kontrollgruppe in die Studie involviert ist. 


Erläuterung: Vom Patienten bzw. Probanden ist die >»Einwilligungserklärung 
einzuholen, die über die Weiterverwendung der Daten und Proben zu For- 
schungszwecken entscheidet. Mit ihm ist ggf. auch ein Vertrag abzuschlie- 
ßen, in dem die Eigentums- und Nutzungsrechte an Proben festgelegt werden. 


Verweise: Siehe dazu auch die Begriffe >Einwilligungserklärung, >Patienten- 
information und >Widerruf. 
Probandenvertrag 


Definition: Ein zwischen Arzt und >Proband im Rahmen klinischer Studien 
zustande kommender zivilrechtlicher Vertrag. Häufig wird das Grundmuster 
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eines Dienstleistungsvertrags zugrunde gelegt, demnach ist der >Patient der 
Dienstleister und der Arzt der Dienstleistungsempfänger. 


Erläuterung: Der Probandenvertrag muss nicht explizit abgeschlossen werden, 
er kann auch implizit durch schlüssiges Verhalten beider Seiten zustande kom- 
men. Im Vergleich zu einem Behandlungsvertrag, bei dem der Arzt der Dienst- 
leister und der >Patient der Dienstleistungsempfänger ist, findet ein Rollen- 
tausch der Vertragspartner statt. 


ProbDAT = Probenanalysedaten 


Definition: Die mit ProbDAT bezeichneten Ergebnisse der Probenanalyse werden 
je nach Bedarf an anfragende Forscher übermittelt. 


Erläuterung: Die ihnen zu Grunde liegenden Analysen können sowohl von den 
der Probenbank angeschlossenen Labors als auch von kooperierenden Einrich- 
tungen durchgeführt werden. ProbDAT können potenziell rückbeziehbare 
Daten darstellen, wie etwa im Fall von Genotypen. Ihre Speicherung sollte 
daher separat von anderen Daten erfolgen. 


Probe (Material, Biomaterial) 


Definition: Dem menschlichen Körper zu diagnostischen oder wissenschaftlichen 
Zwecken entnommene Substanz. 


Erläuterung: Der Begriff Probe wird im Zusammenhang mit >Biobanken syno- 
nym zum Begriff Material oder Biomaterial verwendet. Beispiele für Proben 
unterschiedlichster Art sind etwa: 


Gewebe, 
Körperflüssigkeiten, 
Zellen, 

RNA, 

DNA, 


u 
u 
a 
E 
u 
= Organe. 


Probenanalysedaten 
siehe >ProbDAT. 


Probenbank 


siehe >Biobank. 


Probennummer 
siehe >LabID. 
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Probensammlung 


siehe »Biobank. 


Prüfarzt (Prüfer) 


Definition: „Prüfer ist in der Regel ein für die Durchführung der >klinischen 
Prüfung bei Menschen in einer Prüfstelle verantwortlicher Arzt oder in be- 
gründeten Ausnahmefällen eine andere Person, deren Beruf auf Grund seiner 
wissenschaftlichen Anforderungen und der seine Ausübung voraussetzenden 
Erfahrungen in der Patientenbetreuung für die Durchführung von Forschun- 
gen am Menschen qualifiziert.“ [>AMG s 4] 


Erläuterung: Der Prüfarzt in einer klinischen Studie ist derjenige, der direkten 
Kontakt zum Patienten hat. Mit ihm besteht ein »Behandlungszusammen- 
hang. 


Prüfer 


siehe >Prüfarzt. 


Prüfplan 


Definition: >GCP-V $ 3 (2): „Prüfplan ist die Beschreibung der Zielsetzung, 
Planung, Methodik, statistischen Erwägungen und Organisation einer >kli- 
nischen Prüfung.“ 


Pseudonym 
siehe >PSN. 


Pseudonymisierung (Codierung) 


Definition: „Die Pseudonymisierung ist das Ersetzen des Namens oder anderer 
Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestim- 
mung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ 
[>BDSG s 3 (6a)]. 


Erläuterung: Dies kann beispielsweise durch die Ersetzung des Probanden-Na- 
mens durch eine Kenn-Nummer geschehen. Man kann die Pseudonymisie- 
rung daher als eine eingeschränkte >Anonymisierung auffassen. Ziel der 
Pseudonymisierung ist es aber nicht, den Personenbezug irreversibel abzu- 
trennen, sondern lediglich durch ein eindeutiges Kennzeichen - ein Pseudo- 
nym -zu ersetzen, das für sich genommen die Identifikation der dahinterste- 
henden Person ausschließt oder aber wesentlich erschwert. 


Grundsätzlich bleiben pseudonymisierte Daten allerdings >personenbezieh- 
bar: Es existiert ein „Geheimnisträger“, der die Zuordnung von Person zu Pseu- 
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donym kennt oder wiederherstellen kann und entsprechend vertrauenswürdig 
und geschützt sein muss. 


Der Nutzen, diese Abschwächung der Reduktion des Personenbezugs in Kauf 
zu nehmen, besteht in der Möglichkeit, die individuelle Veränderung perso- 
nenbezogener Daten, z.B. einen Krankheitsverlauf, über die Zeit zu studieren, 
wofür eine mehrfache Zuordnung von Daten zur identischen Person zu ver- 
schiedenen Zeitpunkten erforderlich ist, ohne dass während dieses langen 
Beobachtungszeitraum die Identität der Person bekannt sein muss. 


Man unterscheidet unterschiedliche Verfahren zur Pseudonymisierung (ein- 
stufige und mehrstufige Pseudonymisierung, Einweg-Verfahren zur Pseudo- 
nymisierung, dezentrale und zentrale Pseudonymisierung u.a.). 


Achtung: Das oft verwendete Verfahren, die Identitätsdaten durch ein Kürzel 
aus Initialen und Geburtsdatum zu ersetzen, ist als Pseudonymisierung nicht 
geeignet. 


Hinweis: Die Pseudonymisierung wird bezüglich der Sicherheit gegen Wieder- 
herstellung der >Personenbezogenheit durch die »Anonymisierung übertrof- 
fen. 


Verweise: Zur Legaldefinition der Pseudonymisierung vgl. $ 3 Abs. 6a BDSG, 
siehe auch die Begriffe »Anonymisierung, >Personenbezogenheit, >Depseu- 
donymisierung, >Reidentifizierung. 


PSN = Pseudonym 


Definition: Das PSN ist ein nichtsprechender Identifikator eines Patienten oder 
Probanden (Buchstaben oder Zahlen, die nicht auf die personenidentifizieren- 
den Daten rückschließen lassen). 


Erläuterung: Im Konzept der TMF wird das PSN durch kryptographische Ver- 
schlüsselung des >PID erzeugt. Die TMF stellt dafür eine Netzkomponente 
„Pseudonymisierungsdienst“ zur Verfügung. 


Public Use File 


Definition: Öffentlich zugängliche Datensammlung, die im Regelfall aufgrund 
unvorhersehbaren Zusatzwissens der Nutzer absolut >anonymisiert sein 
muss. 


Erläuterung: Für die +Anonymisierung solcher Datensammlungen wird das Ver- 
fahren der>k-Anonymisierung empfohlen. Abzugrenzen von Public-Use-Files 
sind >Scientific-Use-Files. 


Qualitätssicherung 


siehe >Datenqualität 
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Querschnittstudie 


Definition: Eine Querschnittstudie ermittelt eine Momentaufnahme der unter- 
suchten epidemiologischen Daten in einer Population. 


Erläuterung: Durch den zeitlichen „Schnappschuss“ der epidemiologischen 
Daten sind die aus der Studie gezogenen kausalen Zusammenhänge zwischen 
Exposition und Erkrankung schwach und dienen mehr der Generierung von 
Hypothesen als deren Verifizierung. 


RDE 


>Remote Data Entry 


Recht auf Nichtwissen 


Definition: Besonders im Zusammenhang genetischer Analyseergebnisse pos- 
tuliertes Recht des Betroffenen, diese nicht zur Kenntnis nehmen zu müssen. 


Erläuterung: Dieses Recht auf Nichtwissen und damit auf Unkenntnis des per- 
sönlichen Schicksals ergibt sich aus den Grundrechten des Menschen, insbe- 
sondere dem Recht auf freie Entfaltung der Persönlichkeit (s ı und 2 GG). 
Gleichzeitig impliziert dieses Recht auch die Rechte auf Kenntnis persönlicher 
Daten und auf eine Selbstbestimmung bei der Information. Zu diesem Schluss 
kommt die Enquete-Kommission „Recht und Ethik der modernen Medizin“ 
in ihrem Schlussbericht: „Eingriffe in das Recht auf Nichtwissen bedürfen 
einer Rechtfertigung. Dieses Recht schützt die Einzelne bzw. den Einzelnen 
vor Informationen über ihre bzw. seine gesundheitliche Situation, die sie bzw. 
er nicht zu erlangen bzw. zu besitzen wünscht.“ [24 S. 132]. 


Regelwerk 


siehe >Policy. 


Register 


Definition: Ein Register ist eine systematische Sammlung von Informationen zu 
bestimmten Erkrankungen. Charakteristikum eines Registers ist die angestrebte 
Vollzähligkeit (typischerweise mindestens 95% aller einschlägigen Fälle). 


Erläuterung: Besonders verbreitet sind Krebsregister. Man unterscheidet epide- 
miologische Register und klinische Register. 


Mit epidemiologischen Registern wird das Krankheitsgeschehen, z.B. die 
Häufigkeit von Erkrankungen in einer Region oder einer Zeitspanne, beob- 
achtet. 


Klinische Register zielen darauf, die Behandlung zu verbessern. Dazu müssen 
zunächst relativ detailliert Daten zur Erkrankung und zur Therapie gesammelt 
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werden. Neben der kontinuierlichen Auswertung wird auch die Optimierung 
der individuellen Betreuung angestrebt. Über Erinnerungsverfahren wird si- 
chergestellt, dass Therapien und Nachsorgeuntersuchungen zu festgelegten 
Zeitpunkten stattfinden. Ferner soll erreicht werden, dass jeder an der Betreu- 
ung Beteiligte die nötigen Informationen zur Verfügung hat. Ein Register kann 
somit im »Versorgungs- oder »Forschungszusammenhang stehen. 


In manchen Situationen, z.B. bei seltenen Erkrankungen, ist sinnvolle epi- 
demiologische, ja oft sogar klinische Forschung erst durch Datensammlung 
in Registern möglich. 


Verweise: >klinische Datenbank, >ForschungsdatenbankH_Klinische_Daten- 
bank 


Reidentifizierung 


Definition: Im Wege der Reidentifizierung wird der >Personenbezug von 
>anonymisierten oder >pseudonymisierten >Daten und >Proben unbefugt 
wiederhergestellt. 


Erläuterung: Eine Reidentifizierung kann einerseits durch Korrumpierung eines 
Pseudonyms oder eines Anonymisierungs- oder Pseudonymisierungsverfah- 
rens erfolgen. Andererseits kann eine hinreichende Konstellation von in der 
Summe eindeutig einer Person zuzuweisenden Daten („Alleinstellungsmerk- 
malen“) im formalanonymisierten Datensatz vorliegen. Ist diese Datenkonstel- 
lation in Vergleichsdatenbanken oder in persönlichem Wissen mit offenem 
Personenbezug bekannt, so kann aus dem Inhalt der Daten - trotz formaler 
Abtrennung der personenidentifzierenden Daten - auf die Person rückge- 
schlossen werden, d.h. es kann eine Reidentifizierung durch Inferenzen auf 
der Basis datenimmanenter Identifizierungsrisiken erfolgen. 


Von der Reidentifizierung ist die »Depseudonymisierung zu unterscheiden, 
die durch Umkehrung des Pseudonymisierungsverfahrens den Personenbezug 
befugt rekonstruiert. 


Verwandte Begriffe: »Anonymisierung und >Pseudonymisierung. 


Remote Data Entry (RDE)/Electronic Data Capture (EDC) 


Definition: Verfahren zur zentralen Erfassung von Studiendaten bei dezentraler 
Dateneingabe auf Basis von Software-Systemen, die eine im Regelfall web- 
basierte Präsentation von >Dokumentationsbögen (CRFs) ermöglichen. 


Richtlinie 


siehe >Policy 
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Rückidentifizierung (Reidentifikation) 


siehe >Reidentifizierung 


SAE 


siehe »unerwünschtes Ereignis. 


Schweigepflicht 


Definition: Die ärztliche Schweigepflicht ist die ethische und rechtliche Pflicht 
des Arztes, Verschwiegenheit über alleszu wahren, was ihm bei der Ausübung 
seines Berufes über einen Patienten bekannt wird (Wahrung des Patienten- 
geheimnisses). 


Erläuterung: Schon die Tatsache des Arztbesuchs fällt unter die Schweigepflicht. 
Die Schweigepflicht gilt für den Arzt, Zahnarzt, den Angehörigen eines ande- 
ren Heilberufs, der eine staatlich geregelte Ausbildung erfordert, für Angehö- 
rige medizinisch-technischer Assistenzberufe, medizinische Dokumentare 
und für medizinische Informatiker, sofern sie zum Behandlungsteam des ver- 
antwortlichen Arztes gehören, d.h. seiner direkten Weisungsbefugnis unter- 
liegen. 

Verweise: Rechtsgrundlage in $$ 203, 204 StGB in Verbindung mit $ 3 Muster- 
berufsordnung; in den Vorschriften des Strafgesetzbuches wird die Verletzung 
der Schweigepflicht unter Strafe gestellt; siehe auch den Eintrag „Schweige- 
pflicht“ in [48]. Ferner die Empfehlungen der Bundesärztekammer zur ärzt- 
lichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis 
[49]. 


Scientific Use Files 


Definition: Für bestimmte Forschungsfragestellungen und nach einem formal 
festgelegten Prüfungsverfahren zugängliche Datensammlungen, die >ano- 
nymisiert oder bei Vorliegen einer entsprechenden >Einwilligung auch >pseu- 
donymisiert sein können. 


SDB 


siehe >Studiendatenbank 


Selbstbestimmungsrecht, informationelles 


Definition: Das informationelle Selbstbestimmungsrecht ist das Recht jedes 
Menschen, grundsätzlich selbst darüber zu bestimmen, wer was wann und 
bei welcher Gelegenheit über ihn erfährt. 
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Erläuterung: Das informationelle Selbstbestimmungsrecht basiert nach der 
grundsätzlichen Entscheidung des Bundesverfassungsgerichts im „Volkszäh- 
lungsurteil“ aus dem Jahr 1983 auf den Grundrechten des Art. 2 Abs. 1 GG (freie 
Entfaltung der Persönlichkeit) sowie des Art. 1Abs. 1GG (Schutz der Menschen- 
würde). Freie Entfaltung der Persönlichkeit setzt nach dieser Entscheidung 
des Bundesverfassungsgerichts unter den modernen Bedingungen der Daten- 
verarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Spei- 
cherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Die- 
ser Schutz ist daher von dem Grundrecht des Art. 2Abs. ı in Verbindung mit 
Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis 
des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner 
persönlichen Daten zu bestimmen. Ihren gesetzlichen Niederschlag finden 
diese Grundaussagen des Bundesverfassungsgerichts in den Vorschriften der 
Datenschutzgesetze sowie in datenschutzrelevanten Vorschriften vieler ande- 
rer Gesetze. 


Verweise: Das „Volkszählungsurteil“ des Bundesverfassungsgerichts aus dem 
Jahr 1983 [50 S. 42f.], Bundesdatenschutzgesetz online unter http://www. 
gesetze-im-internet.de/bdsg_1990/ 


Seltene Erkrankung 


Definition: In Europa bezeichnet man eine Erkrankung als selten, wenn sie we- 
niger alseinen unter 2.000 Menschen im Laufe seines Lebens trifft. Das bedeu- 
tet, dass in Deutschland auch über längere Zeiträume hinweg oft nur wenige 
hundert Fälle auftreten. Von den ungefähr 30.000 bekannten Krankheiten wer- 
den 5.000 bis 7.000 zu den seltenen Erkrankungen gerechnet. 


Verweis: [7] 


SIC (Subject Identification Code) 


Der SIC (Subject Identification Code) ist das in >AMG und >GCP vorgesehene 
Pseudonym, das als Ordnungsmerkmal in der >SDB und zum Export an den 
>Sponsor dient. Fr ist (im Gegensatz zum >PID) dem >Prüfarzt bekannt. 


SOP 


siehe >Standard Operating Procedure 


Sponsor 


Definition: Auftraggeber und Hauptverantwortlicher einer >Studie. Bei Arzneimit- 
telstudien ist der Sponsor in der Regel ein Pharma-Unternehmen, bei wissen- 
schaftsgetriebenen Studien (>IIT) in der Regel die Universität oder Forschungs- 
einrichtung, der der Initiator der Studie angehört. „Sponsor ist eine natürliche 
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oder juristische Person, die die Verantwortung für die Veranlassung, Organisation 
und Finanzierung einer klinischen Prüfung bei Menschen übernimmt.“ [>AMG 


S4] 


Erläuterung: Als Sponsoren klinischer Studien treten die pharmazeutische In- 
dustrie, Universitätsinstitute oder -kliniken sowie staatliche, halbstaatliche 
und sonstige Forschungsinstitute und Einrichtungen des Gesundheitswesens 
auf. 


Stammdaten 
siehe >IDAT. 


Standard Operating Procedure (SOP. Standardarbeitsanweisung) 


Definition: Dokument, welches das Vorgehen innerhalb eines Arbeitsprozesses 
beschreibt. 


Erläuterung: Häufig wiederkehrende Arbeitsabläufe werden beschrieben und 
den Ausführenden erklärend an die Hand gegeben. 
Studie 


siehe >Forschungsvorhaben. 


Studiendatenbank (SDB) 


Definition: Datenbank, in der die Daten einer oder mehrerer, auch >multizen- 
trischer, klinischer oder >epidemiologischer Studien zentral gesammelt und 
verwaltet werden. 


Erläuterung: Studiendatenbanken enthalten in Abgrenzung zu >Klinischen 
Datenbanken explizit im Forschungskontext (>Forschungszusammenhang) 
erhobene Daten. 


Studienleiter 


siehe >Principal Investigator. 


Studienzentrale 


Definition: Durch die >Studienleitung für die Datenerfassung, >Qualitätssiche- 
rung und Datenverarbeitung beauftragte Einrichtung. 


SUE 


siehe »unerwünschtes Ereignis. 
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SUSAR 


siehe >unerwünschtes Ereignis. 


Therapieoptimierungsstudie 


Definition: Klinische Studie, bei der verschiedene Optionen eines Therapiever- 
fahrens miteinander verglichen werden. Die Patienten werden verschiedenen 
Studienarmen zugeteilt. 


Erläuterung: Therapieoptimierungsstudien sind vor allem bei komplexen 
Therapieformen im Rahmen der Krebsbehandlung verbreitet. 


Ticket (Zugriffsticket/Token) 


Definition: Nur für eine Transaktion gültige Zufallskennung (zufällige, längere 
Folge alphanumerischer Zeichen). 


Erläuterung: Zugriffstickets werden im Zusammenhang mit einer >Klinischen 
Datenbank für die sichere Zusammenführung von >IDAT und >MDAT ohne 
Offenbarung des >PID verwendet. Im früheren Modell A der generischen 
Datenschutzkonzepte der TMF [1] wurde hierfür der Begriff TempID einge- 
führt. 


Träger des medizinischen Forschungsverbundes 


Definition: Träger des medizinischen Forschungsverbundes ist die Einrichtung 
oder Institution, die rechtlich für die Daten- und Probensammlung verant- 
wortlich ist. 


Erläuterung: Dies kann eine Universität, eine Klinik oder ein Zusammenschluss 
verschiedenartiger Einrichtungen in Form einer juristischen Person (etwa 
einer GmbH oder eines eingetragenen Vereins) oder einer anderen Rechtsform 
(Gesellschaft bürgerlichen Rechts, Stiftung des privaten Rechts usw.) sein. 
Der Träger des medizinischen Forschungsverbundes kann den eigentlichen 
Datenbank- oder Biomaterialbank-Betrieb einer anderen Stelle (dem sogenann- 
ten Betreiber) übertragen. Dieser Betreiber muss nicht notwendigerweise der 
Träger-Institution der Biobank angehören. Hierbei handelt es sich dann um 
eine Datenverarbeitung im Auftrag. 


Verweis: Zur Frage der rechtlichen Ausgestaltung des Trägers einer Biobank 


siehe [23] 


Treuhänder 


>Datentreuhänder 


238 


Glossar 


Unerwünschtes Ereignis 


Definition: Ein unerwünschtes Ereignis ist ein Nebeneffekt einer medizinischen 
Therapie, der für den Patienten unangenehm oder schädlich ist. 


Erläuterung: Ein solcher Nebeneffekt kann bei regelgerechter Therapiedurch- 
führung auftreten, aber auch das Ergebnis einer falschen oder ungeeigneten 
Dosierung eines Medikaments oder einer nicht sachgemäß durchgeführten 
sonstigen therapeutischen Maßnahme sein. Er kann auch als Wechselwirkung 
zwischen verschiedenen Medikamenten auftreten. Unterschieden werden 


= Unerwünschtes Ereignis (Adverse Effect, AE): „jedes nachteilige Vor- 
kommen, das einer betroffenen Person widerfährt, der ein Prüfpräpa- 
rat verabreicht wurde, und das nicht notwendigerweise in ursächlichem 
Zusammenhang mit dieser Behandlung steht“ [>GCP-V $ 3 (6)]; 

= Nebenwirkung (Adverse Reaction, AR): „jede nachteilige und unbeab- 
sichtigte Reaktion auf ein Prüfpräparat unabhängig von dessen Dosie- 
rung“ [>GCP-V s3 (7)]; 

= Unerwartete Nebenwirkung (Unexpected Adverse Reaction, UAR): 
„Nebenwirkung, die nach Art oder Schweregrad nicht mit der vorliegen- 
den Information über das Prüfpräparat übereinstimmt“ [>GCP-V ș 3 (9)]; 

= Schwerwiegendes unerwünschtes Ereignis oder schwerwiegende Neben- 
wirkung (Serious Adverse Event, SAE; Serious Adverse Reaction, SAR): 
ein AE oder eine AR, die „unabhängig von der Dosis tödlich oder lebens- 
bedrohend ist, eine stationäre Behandlung oder deren Verlängerung er- 
forderlich macht, zu einer bleibenden oder schwerwiegenden Behinde- 
rung oder Invalidität führt oder eine kongenitale Anomalie oder einen 
Geburtsfehler zur Folge hat“ [>GCP-V s 3 (8)]; 

= Schweres unerwünschtes Ereignis (Serious Unwanted Event, SUE) sowie 

= Verdachtsfall unerwarteter schwerwiegender Nebenwirkung (Suspected 
Unexpected Serious Adverse Reaction, SUSAR). 


Für >klinische Prüfungen definieren das >AMG im $ 63b und die >GCP-V in 
$$ 12-13 Meldepflichten und -verfahren. 


Validierung 


Definition: Erbringen eines dokumentierten Nachweises, dass ein System oder 
Prozess in Übereinstimmung mit seinen Anforderungen funktioniert. 


Erläuterung: In den GxP-Richtlinien (Good x Practice, x = Laboratory, Clinical 
oder Manufacturing, GLP, >GCP, GMP) wird gefordert, dass pharmazeutische 
Unternehmen ihre Prozesse mit Einfluss auf die Produktqualität validieren 
und die zugehörigen Geräte qualifizieren müssen. Diese regulatorischen An- 
forderungen gelten auch für computergestützte Systeme, die aus Hard- und 
Software bestehen. 
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Verzeichnisse 


Verhältnismäßigkeit 


Definition: Datenschutzmaßnahmen sollen in einem angemessenen Verhältnis 
zum Schutzzweck stehen. Die Verhältnismäßigkeit bezieht sich dabei auf die 
Relation des Aufwands zum Nutzen bzw. zum verhinderten Schaden. 


Erläuterung: Verhältnismäßigkeit bedeutet in der Regel nicht, dass ein konti- 
nuierlicher Sicherheitsparameter mehr oder weniger hoch angesetzt wird, 
sondern dass Redundanzen vermehrt oder abgebaut werden. So können bei 
hohem Schutzbedarf der Daten technische Zugangsbarrieren mit organisato- 
rischen Regelungen verknüpft werden, wohingegen bei geringerem Schutz- 
bedarf vielleicht die technischen Maßnahmen alleine ausreichen. 


Versorgungsdatenbank 


siehe Klinische Datenbank 


Widerruf 


Definition: Unter dem Widerruf der Daten- oder Probenverwendung versteht 
man die teilweise oder vollständige Rücknahme der >Einwilligungserklärung 
(s. dort) mit der Folge, dass Daten (>Datenkategorien) und >Proben vom >For- 
schungsverbund nicht bzw. nur noch in eingeschränktem Maße für eigene 
oder fremde »Forschungsvorhaben verwendet werden dürfen. Aus der Verein- 
barung mit dem >Patienten oder Probanden kann sich nach dem Widerruf der 
>Einwilligungserklärung auch die Pflicht ergeben, Daten zu löschen oder zu 
>anonymisieren bzw. die >Probe an den Probanden herauszugeben, sie zu 
vernichten oder zumindest zu >anonymisieren. Es sind auch Fälle denkbar, 
in denen ein Widerruf der >Einwilligungserklärung ausgeschlossen ist (etwa 
nach dem >AMC). 


Erläuterung: Zieht ein Patient seine Teilnahme am Forschungsverbund zurück 
oder verstirbt ein im Forschungsverbund erfasster Patient, so sind in jedem 
Fall die Identifikationsdaten (>IDAT) des Patienten in allen Dateien bzw. Re- 
gistern außerhalb der lokalen Dokumentation der behandelnden Einrichtung 
zu löschen. Medizinische Daten (>MDAT) müssen - je nach Verfügung in der 
Einwilligung - gelöscht oder anonymisiert werden. 


Verweise: Weitere Hinweise finden sich beim Begriff der >Einwilligungserklä- 
rung und in dem generischen Datenschutzkonzept der TMF für Biobanken [2 
S. 42ff.]. 


Wissenschaftsgetriebene Studie 


siehe >Investigator Initiated Trial 
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Abkürzungsverzeichnis 


Abkürzungsverzeichnis 


AAL 
ACL 
AE 
AES 
AG 
AG 
AK 
AK EK 


AMG 
AMIA 
AR 
BayDSG 
BayKrG 
BDSG 
BGB 
BMB 
BMBF 
BMWi 
BSG 
BSI 

CA 


CDISC 
CDM 
CE 
CEN 


CGI 
(00) 


cloud4health 


CRA 


Ambient Assisted Living 

Access Control List 

Adverse Event, unerwünschtes Ereignis im Rahmen einer Arzneitmittelprüfung 
Advanced Encryption Standard: symmetrisches Verschlüsselungsverfahren 
Aktiengesellschaft 

Arbeitsgruppe 

Arbeitskreis 


Arbeitskreis Medizinischer Ethik-Kommissionen in der Bundesrepublik Deutschland 
(www.ak-med-ethik-komm.de) 


Gesetz über den Verkehr mit Arzneimitteln - Arzneimittelgesetz 
American Medical Informatics Association (www.amia.org) 

Adverse Reaction, Nebenwirkung im Rahmen einer Arzneimittelprüfung 
Bayerisches Datenschutzgesetz 

Bayerisches Krankenhausgesetz 

Bundesdatenschutzgesetz 

Bürgerliches Gesetzbuch 

Biomaterialbank(en) 

Bundesministerium für Bildung und Forschung (www.bmbf.de) 
Bundesministerium für Wirtschaft und Technologie (www.bmwi.bund.de) 
Bundessozialgericht (www.bundessozialgericht.de) 

Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de) 


Certification Authority, im Rahmen einer PKI für die Überprüfung öffentlicher Schlüssel 
und Herausgabe zugehöriger Zertifikate verantwortlich 


Clinical Data Interchange Standards Consortium (www.cdisc.org) 
Clinical Data Manager 
Conformité Européenne (franz.): Kennzeichnung der Produktsicherheit nach EU-Recht 


Comité Européen de Normalisation, Europäisches Komitee für Normung 
(www.cenorm.be) 


Common Gateway Interface: Standardschnittstelle zur Kommunikation zwischen 
Webclient und Webserver 


Chief Information Officer 


im Rahmen des BMWi-Förderprogramms „Trusted Cloud“ gefördertes Projekt zur 
Entwicklung und Erprobung von innovativen, sicheren und rechtskonformen 
Cloud-Computing-Diensten im Gesundheitsbereich (www.cloud4health.de) 


Clinical Research Associate 
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CRF Case Report Form 

CRM Customer Relationship Management 

CRO Contract Research Organisation 

CT Computer-Tomografie 

DB Datenbank 

DES Data Encryption Standard; symmetrischer Verschlüsselungsalgorithmus 

DFG Deutsche Forschungsgemeinschaft (www.dfg.de) 

DGEpi Deutsche Gesellschaft für Epidemiologie e.V. (http://dgepi.de) 

D-Grid Vom BMBF gefördertes Integrationsprojekt für den Aufbau und die Nutzung von 
GRID-Infrastrukturen in verschiedenen Anwendungsbereichen (www.d-grid.de) 

DGSMP Deutsche Gesellschaft für Sozialmedizin und Prävention e.V. (www.dgsmp.de) 

DGVO Datenschutzgrundverordnung 

DICOM Digital Imaging and Communications in Medicine (http://medical.nema.org) 

DKKR Deutsches Kinderkrebsregister (www.kinderkrebsregister.de) 

DNA Deoxyribonucleic acid (Desoxyribonukleinsäure) 

DSG Datenschutzgesetz 

DuD Zeitschrift „Datenschutz und Datensicherheit“ (www.dud.de) 

E2B ICH-Code der Richtlinie „Data Elements for Transmission of Individual Case Safety 
Reports“ 

EB Epidermolysis Bullosa 

eCRF electronic Case Report Form 

EDC Electronic Data Capturing 

EFA Elektronische Fallakte 

EG Europäische Gemeinschaft 

eGA Elektronische Gesundheitsakte 

EGA siehe eGA 

eGK elektronische Gesundheitskarte (www.die-gesundheitskarte.de) 

EMA European Medicines Agency (www.ema.europa.eu) 

EMEA siehe EMA 

EN Europäische Norm des CEN 

EPA Elektronische Patientenakte 

ETL Extract, Transform, Load: Kurzform für den Prozess, Daten aus mehreren, heterogenen 


Datenquellen selektiv zu lesen, zu transformieren und in einer einheitlichen Zielstruktur 
abzuspeichern 


EuGH Gerichtshof der Europäischen Gemeinschaften (http://curia.europa.eu) 


EWG Europäische Wirtschaftsgemeinschaft 
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Abkürzungsverzeichnis 


FDB 
FK 
GCP 
GCP-V 


GEP 
GG 
GKV 
GLP 
GMDS 


GMG 


GMP 


GPS 
GRID 


GxP 
HBA 
HDSG 
HIV 
HL7 


Homonym 


HSM 
HTTP 
12B2 


laaS 


IIT 
ISO 27001 


Forschungsdatenbank 
Fall-Kontroll(-Studie) 
Good Clinical Practice, Regelwerk der ICH 


Verordnung über die Anwendung der Guten Klinischen Praxis bei der Durchführung von 
klinischen Prüfungen mit Arzneimitteln zur Anwendung am Menschen - GCP-Verordnung 


Gute Epidemiologische Praxis 

Grundgesetz der Bundesrepublik Deutschland 
Gesetzliche Krankenversicherung 

Good Laboratory Practice 


Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. 
(www.gmds.de) 


Gesetz zur Modernisierung der gesetzlichen Krankenversicherung - GKV-Modernisie- 
rungsgesetz 


Good Manufacturing Practice, Richtlinien der Weltgesundheitsorganisation (WHO) für 
die Herstellung und die Sicherung der Qualität von Arzneimitteln 


Gute Praxis Sekundäratenanalyse der DGSMP, DGEpi, GMDS und DGSMP 


Computernetz für verteiltes Rechnen und Anwendungen, die verteiltes Rechnen 
voraussetzen 


Good x Practice, x = Laboratory, Clinical oder Manufacturing 
Heilberufeausweis 

Hessisches Datenschutzgesetz 

Human Immunodeficiency Virus 


Health Level Seven; Internationale SDO für den Bereich der Interoperabilität von 
IT-Systemen im Gesundheitswesen (www.hl7.org) 


Zusammenführung von Datensätzen zu unterschiedlichen Personen in einem Datensatz 
mit einem PID 


Hardware Security Module 

Hyper Text Transfer Protocol 

Informatics for Integrating Biology and the Bedside (www.i2b2.org) 
Infrastructure as a Service 


International Conference on Harmonisation of Technical Requirements for Registration 
of Pharmaceuticals for Human Use (www.ich.org) 


Identifikationsnummer 

Identifizierende Daten (eines Patienten) 

Integrating the Healthcare Enterprise (www.ihe.net) 
Investigator initiated trial 


ISO-Standard zum IT-Sicherheitsmanagement: „Information Technology - Security 
Techniques - Information Security Management Systems - Requirements“ 
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ISO 

IZKS 

|PEG 

KA 
k-Anonymität 


KDB 
KKS 
KN 
KPOH 
LabID 
LDSG 
LfD 
LKG 
MBO 
MDAT 
MPG 
MPKPV 
MRT 
NIH 
NRW 
OASIS 


OP 
PaaS 


Patientenfach 


PDF 
PET 
PID 
PIN 
PKI 
PL 


244 


International Organization for Standardization (www.iso.org) 

Interdisziplinäres Zentrum Klinische Studien 

Komprimiertes Bilddateiformat der Joint Photographic Experts Group (www.jpeg.org) 
Registerzeichen beim BSG für Vertrags(zahn)arztrecht 


Eine Datensammlung ist kanonym, wenn jede Merkmalskombination, die potenziell für 
einen reidentifizierenden Abgleich genutzt werden könnte, in mindestens k Datensätzen 
vorkommt 


Klinische Datenbank 

Koordinierungszentrum für Klinische Studien (www.kks-netzwerk.de) 
Kompetenznetz (www.kompetenznetze-medizin.de) 

KN Pädiatrische Onkologie und Hämatologie (www.kompetenznetz-paed-onkologie.de) 
Labordaten-/Probennummer 

Landesdatenschutzgesetz 

Landesbeauftragte(r) für den Datenschutz 
Landeskrankenhausgesetz(e) 

Musterberufsordnung für Ärzte 

Medizinische Daten 

Gesetz über Medizinprodukte - Medizinproduktegesetz 

Verordnung über klinische Prüfungen von Medizinprodukten 
Magnetresonanztomographie 

US National Institutes of Health (www.nih.gov) 

Nordrhein-Westfalen 


Organization for the Advancement of Structured Information Standards 
(www.oasis-open.org) 


Operation, Operationssaal 
Platform as a Service 


Elektronischer Datencontainer auf der eGK oder in der zugehörigen Telematikinfrastruk- 
tur für die Ablage und Übermittlung von vom Versicherten selbst oder für diesen zur 
Verfügung gestellten Daten, die sich ausschließlich in der Datenhoheit des Versicherten 
befinden 


Portable Document Format von Adobe (www.adobe.com) 
Positronenemissionstomographie 

Patientenidentifikator 

Personal Identification Number 

Public Key Infrastruktur 


Patientenliste 


Abkürzungsverzeichnis 


PneumoGrid Vom BMBF gefördertes Projekt zur Entwicklung einer gridbasierten Infrastruktur und 


PSD 
PSN 
PStG 
05 
RDE 
RFD 
RN 
RNA 
RöV 
SaaS 
SAE 


SAML 


SAR 


SCORM 
SDB 
SDO 
SGB 
SIC 
SLA 

SN 
SOAP 


SOP 
SQL 

SSL 
StGB 
StPO 
StrlSchV 


SUE 


darauf aufbauender Dienste zur Unterstützung von Diagnostik und Therapie der 
chronisch obstruktiven Lungenerkrankung (www.pneumogrid.de) 


Pseudonymisierungsdienst (der TMF) 

Pseudonym 

Personenstandsgesetz 

Qualitätssicherung 

Remote Data Entry (System) 

Retrieve Form for Data Capture; IHE IT Infrastructure Technical Framework 
Randnummer 

Ribonukleinsäure 

Verordnung über den Schutz vor Schäden durch Röntgenstrahlen - Röntgenverordnung 
Software as a Service 


Serious Adverse Event, schwerwiegendes unerwünschtes Ereignis im Rahmen einer 
Arzneimittelprüfung 


Security Assertion Markup Language, XML-basierte Auszeichnungssprache zur 
Beschreibung von sicherheitsbezogenen Informationen 


Serious Adverse Reaction, schwerwiegende Nebenwirkung im Rahmen einer Arzneimit- 
telprüfung 


Sharable Content Object Reference Model (www.adinet.gov/scorm/index.cfm) 
Studiendatenbank 

Standards Development Organization 

Sozialgesetzbuch 

Subject Identification Code 

Service Level Agreement 

Sequencing and Navigation; Teilspezifikation von SCORM 


Simple Object Access Protocol; vom W3C empfohlener, XML-basierter Protokoll-Standard 
zur Kommunikation strukturierter Daten mit Webservices per HTTP 


Standard Operating Procedure 

Structured Query Language (Standard-Sprache für Datenbank-Zugriff) 
Secure Socket Layer, verschlüsselte HTTP-Verbindung 
Strafgesetzbuch 

Strafprozessordnung 


Verordnung über den Schutz vor Schäden durch ionisierende Strahlen - Strahlenschutz- 
verordnung 


Serious Unexpected Event 
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Verzeichnisse 


SUSAR 


Synonym 
TKT 

TLS 

TMF 


TMI 
TTP 
UAR 


ULD 


UML 
VK 
VOMS 
VPN 
W3C 
WHO 
Wiki 


XACML 


XML 
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Suspected Serious Unexpected Adverse Reaction; Verdachtsfall einer unerwarteten 
schwerwiegenden Nebenwirkung im Rahmen einer Arzneimittelprüfung 


Anlage mehrerer Datensätze zu einer Person mit jeweils unterschiedlichem PID 
Ticket, auch Zugriffsticket 
Transport Layer Security 


TMF - Technologie- und Methodenplattform für die vernetzte medizinische Forschung 
eV. (www.tmf-ev.de) 


Telemedizinische Infrastruktur 
Trusted Third Party 


Unexpected Adverse Reaction; unerwartete Nebenwirkung im Rahmen einer Arzneimit- 
telprüfung 


Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 
(www.datenschutzzentrum.de) 


Unified Modeling Language (www.uml.org) 
Versichertenkarte 

Virtual Organization Membership Service 
Virtual Private Network 

World Wide Web Consortium (www.w3.org) 
World Health Organization (www.who.org) 


Webseitensammlung, die nicht nur per Browser gelesen, sondern auch online geändert 
werden kann. Der Name ist von „wikiwiki“, dem hawaiianischen Wort für „schnell“, 
abgeleitet. 


eXtensible Access Control Markup Language: Vom OASIS-Konsortium standardisiertes 
XML-Schema zur Darstellung und Verarbeitung von Autorisierungs-Policies 


extensible Markup Language 
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Anhang 


Weiterführende Informationen und Materialien der TMF zum Thema stehen 
unter www.tmf-ev.de/datenschutz-leitfaden zur Verfügung. 
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TMF - Forscher vernetzen, Lösungen bereitstellen, Doppelarbeit vermeiden 


Die TMF sorgt für Qualitäts- und Effizienzsteigerung in der medizinischen Forschung 


Die moderne medizinische Forschung steht vor zunehmend komplexen Her- 
ausforderungen, für deren Lösung sich die Akteure aus Grundlagenforschung, 
klinischer Forschung, Versorgungseinrichtungen, Industrie und weiteren Part- 
nern miteinander vernetzen und gemeinsame Strategien entwickeln müssen. 
Ein zentraler Ansatz ist die Effizienzsteigerung auf allen Ebenen der medizini- 
schen Forschungs- und Entwicklungskette, um - bei gesicherter Qualität - For- 
schungsergebnisse auf schnellstem Wege in die Patientenversorgung zu über- 
tragen und damit zu einem effizienten und leistungsfähigen Gesundheitswe- 
sen beizutragen. Die Bundesregierung unterstützt diesen Prozess unter ande- 
rem im Rahmen des Gesundheitsforschungsprogramms und fördert seit mehr 
als zehn Jahren konsequent die medizinische Verbundforschung. Erfolgreiche 
Beispiele sind die herausragenden Ergebnisse aus den Kompetenznetzen in der 
Medizin oder den Koordinierungszentren für Klinische Studien. 


DieTMF-Technologie- und Methodenplattform für die vernetzte medizinische 
Forschung (kurz: TMF), die vom Bundesministerium für Bildung und For- 
schung (BMBF) gefördert wird, leistet hierzu einen entscheidenden Beitrag, 
indem sie Forscher Disziplin-übergreifend zusammenbringt und Lösungen 
für die vernetzte medizinische Forschung bereitstellt. Damit übernimmt sie 
eine wesentliche nationale Aufgabe zur Qualitäts- und Effizienzsteigerung für 
die Forschung. 


Ziele und Aufgaben 


Als Dachorganisation für die medizinische Verbundforschung verfolgt die TMF 
das Ziel, die organisatorischen, rechtlichen-ethischen und technologischen 
Voraussetzungen für die klinische, epidemiologische und translationale For- 
schung zu verbessern. Sie hat die Aufgabe, die wissenschaftliche Arbeit der 
modernen medizinischen Forschung, die heutzutage überwiegend in koope- 
rativen Projekten mit mehreren beteiligten Standorten stattfindet, zu unter- 
stützen. Dazu stellt sie - öffentlich und gemeinfrei, also für jeden Forscher 
nutzbar - Gutachten, generische Konzepte, Leitfäden und IT-Anwendungen 
ebenso wie Schulungs- und Beratungsangebote bereit. Der überwiegende Teil 
der Produkte steht unter www.tmf-ev.dezum Download zur Verfügung. Aus- 
gewählte Ergebnisse werden in der Schriftenreihe der TMF publiziert. 


Die Produkte werden - von der Forschung für die Forschung - von den Fachex- 
perten der Mitgliedsverbünde entwickelt, die in den interdisziplinären Arbeits- 
gruppen der TMF zusammenkommen. Als Grundmuster und Leitmotiv der ge- 
meinsamen Arbeit in den Arbeitsgruppen gilt der Anspruch, gemeinsame Pro- 
bleme gemeinsam zu lösen, von vorhandenen Erfahrungen gegenseitig zu pro- 
fitieren, Doppelarbeit zu vermeiden sowie professionelle Lösungen zu erarbeiten, 
zu diesen einen Konsens in der Forschergemeinschaft herzustellen und ihre 
konsequente Nutzung und langfristige Verfügbarkeit zu gewährleisten. 
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Geschichte 


Die TMF wurde 1999 unter dem Namen „Telematikplattform für Medizinische 
Forschungsnetze“ als Förderprojekt des BMBF gegründet. Mit dem Ziel, die 
Struktur zu verstetigen und die gemeinsame Querschnittseinrichtung der me- 
dizinischen Verbundforschung noch stärker in die Hände der Forscher selbst 
zu legen, wurde 2003 derTMF e.V. gegründet. Seither ist die Zahl der Mitglieds- 
verbünde stark angewachsen. Damit zusammenhängend hat sich auch das 
thematische Spektrum der TMF verbreitert, die zunächst primär auf Fragen der 
IT-Infrastruktur ausgerichtet war. Die Themen reichen heute von rechtlichen 
und ethischen Rahmenbedingungen und Fragen der IT-Infrastruktur über Qua- 
litätsmanagement und Standards für klinische Studien sowie den Themen- 
komplex Biobanken und molekulare Medizin bis hin zum Problem der Verzah- 
nung von Forschung und Versorgung oder Fragen der Verbundkoordination 
und der Wissenschaftskommunikation. 


2010 beschloss die Mitgliederversammlung eine Umbenennung der TMF, da 
der Begriff „Telematikplattform“ diesem breiten Spektrum nicht mehr gerecht 
wurde. Der seither geführte Name „TMF - Technologie- und Methodenplatt- 
form für die vernetzte medizinische Forschung e.V.“ erfasst die Aufgaben und 
Themen der TMF auf spezifischere Weise. 


Mitglieder 


Mitglieder der TMF sind überregionale medizinische Forschungsverbünde, 
vernetzt arbeitende universitäre und außeruniversitäre Forschungsinstitute, 
Methodenzentren, regionale Verbundprojekte sowie kooperative Studiengrup- 
pen. Dazu gehören unter anderem 


H 


die Deutschen Zentren der Gesundheitsforschung, 

die Nationale Kohorte, 

Kompetenznetze in der Medizin, 

Koordinierungszentren bzw. Zentren für Klinische Studien (KKS/ZKS), 
Integrierte Forschungs- und Behandlungszentren, 

Netzwerke für Seltene Erkrankungen, 

die Fraunhofer-Gesellschaft (mit dem Fraunhofer ITEM als direktem Mitglied), 
Zoonosen-Forschungsverbünde, 

zentralisierte Biomaterialbanken (Nationale Biobanken-Initiative) 
Universitätsinstitute, 

Patientenorganisationen 

und zahlreiche weitere. 


EEEE NENE EENE E 


E 


| 


Über Mitgliedsverbünde sind bundesweit alle Universitätsklinika und zahl- 
reiche außeruniversitäre Forschungsstandorte in unterschiedlicher Weise in 
die TMF eingebunden. Mit Kooperationspartnerschaften sorgt die TMF auch 
darüber hinaus für eine Einbindung der relevanten Institutionen im Gesund- 
heitswesen. 
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Themen und Arbeitsweise 


Die durch die Forschungsverbünde und -einrichtungen gemeinsam zu be- 
arbeitenden Querschnittsaufgaben gehen weit über Fragen von Informations- 
und Kommunikationstechnologie im technischen Sinne hinaus. Die Wissen- 
schaftler in den Forschungsprojekten brauchen Unterstützung und Erfah- 
rungsaustausch in großer Breite: 


u 


zu Fragen der konkreten Umsetzung von Datenschutz und ethischen 

Richtlinien, 

= zum Aufbau von Forschungsinfrastrukturen wie Datenbanken für For- 
schungsregister und Biobanken, 

= zur strategischen Nutzung von Informationstechnologie für die Prozess- 
unterstützung wie für die wissenschaftliche Auswertung, 

= zu Rechtsfragen in vielerlei Hinsicht, beispielsweise zum Vertragsrecht 
innerhalb von Netzwerken, zu Patienteneinwilligungen oder zu Verwer- 
tungsfragen, 

= zu Fragen der Organisation und des Managements von Forschungsnet- 
zen und ihren Projekten sowie 

= zunehmend auch zu Fragen des Budgetmanagements, der Finanzierung 

und der Nachhaltigkeit von mit öffentlichen Geldern aufgebauten Netz- 

werkstrukturen. 


Alle diese Fragen werden kontinuierlich in den Arbeitsgruppen der TMF be- 
arbeitet, in denen sich die jeweiligen Fachleute aus den verschiedenen Pro- 
jekten und Forschungsstandorten interdisziplinär zusammenfinden. Dabei 
entstehen strategische Anstöße und Impulse für die Forschungsinfrastruktur, 
vor allem aber konkrete Hilfen, Produkte und Services für den Forscher. Regel- 
mäßig tagen einzelne Arbeitsgruppen auch gemeinsam, um auf diese Weise 
themenübergreifende Aspekte besser aufnehmen und Doppelaktivitäten der 
Arbeitsgruppen vermeiden zu können. 


Arbeitsgruppen 


Die Arbeitsgruppen initiieren Projekte und betreuen sie im Verlauf- bis hin zur 
Implementierung der Ergebnisse und zur Beratung von Forschungsprojekten 
auf dieser Basis. Neue Projektvorschläge durchlaufen ein mehrstufiges Aus- 
wahlverfahren - von der fachlichen Prüfung und Schärfung in den Arbeitsgrup- 
pen über Beratung in der Geschäftsstelle bis hin zur Begutachtung durch den 
Vorstand. Mit diesem Vorgehen wird sichergestellt, dass die in den Projekten 
adressierten Probleme für die Forschergemeinschaft relevant sind und dass die 
angestrebte Lösung einen breiten Konsens für die spätere Anwendung findet. 


Arbeitsgruppen können in der TMF je nach aktuellem Bedarf neu eingerichtet, 
zusammengelegt oder auch aufgelöst werden, wenn ein Thema keine hohe 
Relevanz mehr hat. Derzeit sind neun Arbeitsgruppen aktiv: 
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Arbeitsgruppe Datenschutz 

Arbeitsgruppe IT-Infrastruktur und Qualitätsmanagement 
Arbeitsgruppe Biomaterialbanken 

Arbeitsgruppe Molekulare Medizin 

Arbeitsgruppe Management Klinischer Studien 
Arbeitsgruppe Medizintechnik 

Arbeitsgruppe Zoonosen und Infektionsforschung 
Arbeitsgruppe Netzwerkkoordination 

= Arbeitsgruppe Wissenschaftskommunikation 


E EHNE EEE E 
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Der interdisziplinäre Austausch wird über die Arbeitsgruppen hinaus durch 
zahlreiche Symposien und Workshops, durch den TMF-Jahreskongress sowie 
durch Foren - aktuell beispielsweise zum Thema Versorgungsforschung - er- 
ganzt. 


Lösungen stehen frei zur Verfügung 


Die TMF stellt Gutachten, generische Konzepte, Leitfäden und IT-Anwendun- 
gen ebenso bereit wie sie Schulungs- und Beratungsservices der Arbeitsgrup- 
pen, auch in Form von Einzelberatungen, anbietet. Die Ergebnisse der Arbeit 
in der TMF stehen öffentlich und gemeinfrei zur Verfügung. 


Mit diesem offenen Ansatz verfolgt die TMF das Ziel, 


= methodisches Know-how und Infrastrukturen für die vernetzte medizi- 
nische Forschung breit verfügbar zu machen, 

= die Harmonisierung, die Interoperabilität und das Qualitätsmanage- 
ment in der vernetzten medizinischen Forschung durch entsprechende 
Infrastruktur, Leitfäden und Services zu stärken, 

= dieKollaboration in der deutschen medizinischen Forschung sowie deut- 
sche Forscher in internationalen Kooperationen zu stärken, 

= die Verstetigung und Nachhaltigkeit akademischer medizinischer For- 
schungsprojekte zu unterstützen und 

= einen Beitrag zu sinnvollem Mitteleinsatz in der öffentlich geförderten 
medizinischen Forschung zu leisten, indem sie Doppelentwicklungen 
vermeiden hilft und die Wiederverwendung vorhandener Lösungen or- 
ganisiert. 


Mit ihren Lösungen adressiert die TMF vor allem die nicht-kommerzielle, aka- 
demische - universitäre wie außeruniversitäre - Forschung in Deutschland. 
Unabhängig davon ist aber auch ein steigendes Interesse an den Angeboten 
aus der Industrie zu verzeichnen. Viele Lösungen der TMF sind zudem auch 
für das Ausland, insbesondere die deutschsprachigen Länder, relevant und 
werden in dortigen Forschungseinrichtungen bereits genutzt. 


Alle Download-geeigneten Produkte und Ergebnisse stehen auf der TMF-Web- 
site zur Verfügung. Einzelne Software-Werkzeuge sind sehr komplex und be- 
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dürfen einer individuellen Anpassung und Erläuterung, so dass sie nur über 
den direkten Kontakt zur TMF-Geschäftsstelle erhältlich sind, die dann auch 
für die Betreuung bei der Implementierung und Nutzung des Produktes sorgt. 
Darüber hinaus fließen die Ergebnisse kontinuierlich auch in die Diskussionen 
in den Arbeits- und Projektgruppen ein, und sie werden in konkreten Bera- 
tungsgesprächen sowie in Schulungs- und Informationsveranstaltungen ver- 
mittelt. 


TMF-Schriftenreihe 


Wichtige Konzepte, Leitfäden und Hilfstexte veröffentlicht die TMF in ihrer 
Schriftenreihe, die sie seit mehreren Jahren bei der Medizinisch Wissenschaft- 
lichen Verlagsgesellschaft herausgibt. So erschienen 2006 als erster Band die 
generischen Lösungen zum Datenschutz für die Forschungsnetze in Buchform 
(Reng et al.: Generische Lösungen zum Datenschutz für die Forschungsnetze 
in der Medizin, Berlin 2006 - Bd. ı). In der Zwischenzeit sind diese Konzepte 
einer grundlegenden Revision unterzogen und erneut mit den Bundes- und 
Landesdatenschützern abgestimmt worden. Die überarbeiteten Konzepte wer- 
den mit dem vorliegenden Leitfaden als Band 11 der TMF-Schriftenreihe für 
einen breiten Nutzerkreis verfügbar gemacht (Pommerening et al.: Leitfaden 
zum Datenschutz in medizinischen Forschungsprojekten, Berlin 2014-Bd. 11). 


Es folgte das Rechtsgutachten zum Aufbau und Betrieb von Biomaterialbanken 
(Simon et al. : Biomaterialbanken - Rechtliche Rahmenbedingungen, Berlin 
2006 -Bd. 2), dasim Februar 2008 um einen weiteren Band zum Thema Quali- 
tätssicherung von Biobanken ergänzt wurde (Kiehntopf/Böer: Biomaterial- 
banken - Checkliste zur Qualitätssicherung, Berlin 2008 - Bd. 5). Das Daten- 
schutzkonzept, das ursprünglich als Bd. 6 der Schriftenreihe publiziert werden 
sollte, ist in die vorliegende Publikation der neuen Datenschutzkonzepte in- 
tegriert worden. 


Mit der Checkliste zur Patienteneinwilligung legte die TMF Ende 2006 ein Re- 
ferenzwerk vor, das den Anwendern ermöglicht, auf der Basis von relevanten, 
dokumentierten und kommentierten Quellen Patienteninformationen und 
Einwilligungserklärungen für klinische Studien zu erstellen, die den regula- 
torischen Anforderungen entsprechen (Harnischmacher etal.: Checkliste und 
Leitfaden zur Patienteneinwilligung, Berlin 2006 - Bd. 3). Wie die meisten 
anderen Buchpublikationen auch, wird dieser Band durch weitere online ver- 
fügbare Materialien (z.B. Musterverträge) oder Services ergänzt. 


2007 erschien die erste Auflage der Leitlinie zur Datenqualität in der medizi- 
nischen Forschung, die 2014 in einer aktualisierten und ergänzten Fassung 
neu aufgelegt worden ist. Die Leitlinie (Nonnemacher et al. : Datenqualität in 
der medizinischen Forschung, Berlin 2014 - Bd. 4) enthält Empfehlungen zum 
Management von Datenqualität in Registern, Kohortenstudien und Data Re- 
positories. 
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Ein Rechtsgutachten zum Problemfeld der Verwertungsrechte in der medizi- 
nischen Forschung (CGoebel/Scheller: Verwertungsrechte in der medizinischen 
Forschung, Berlin 2008 - Bd. 7) erschien 2008 als erste Veröffentlichung einer 
Reihe von Rechtsgutachten, die die TMF zu verschiedenen Fragen hat erstellen 
lassen, unter anderem zum Thema „elektronische Archivierung von Studien- 
unterlagen“. Die Publikation dieser weiteren Rechtsgutachten in der TMF- 
Schriftenreihe wird sukzessive folgen. 


Mit Band 8 (Mildner [Hısg.]: Regulatorische Anforderungen an Medizin- 
produkte, Berlin 2011 - Bd. 8) hat die TMF 2011 erneut die Aufarbeitung eines 
im Umbruch befindlichen Feldes vorgelegt. Das Buch bietet eine Einführung 
in den regulatorischen Prozess bei der Entwicklung von Medizinprodukten 
und stellt Handlungshilfen bereit. Dabei wird der gesamte Bereich von der 
klinischen Bewertung bis zum Health Technology Assessment abgedeckt. 


Praktische Empfehlungen für die Verarbeitung und Analyse von Daten, die 
bei derHochdurchsatz-Genotypisierung anfallen, gibt Band 9 (Krawczak/Freu- 
digmann [Hrsg.]: Qualitätsmanagement von Hochdurchsatz-Genotypisie- 
rungsdaten, Berlin 2011 - Bd. 9), der ebenfalls 2011 publiziert werden konnte. 
Dabei reichen die behandelten Fragen von Problemen der Validität und Plau- 
sibilität über die Erkennung und Vermeidung von Fehlern bis hin zu Anforde- 
rungen an Datenhaltung und Datentransfer. 


An die TMF-Ergebnisse im Bereich Datenschutz und Patienteneinwilligung 
knüpft der 2012 erschienene Band 10 an (Goebel/Scheller: Einwilligungserklä- 
rung und Forschungsinformation zur Gewinnung tierischer Proben, Berlin 
2012-Bd. 10). Die Ergebnisse sind im Auftrag der Nationalen Forschungsplatt- 
form für Zoonosen erarbeitet worden. Sie dienen dazu, Forschenden Rechts- 
sicherheit bei der Entnahme und Bearbeitung von Tierproben zu geben und 
sie bei der Erstellung der relevanten Einwilligungsunterlagen zu unterstützen. 


Weitere Informationen und Kontakt 


TMF - Technologie- und Methodenplattform 
für die vernetzte medizinische Forschung e.V. 
Charlottenstraße 42/Ecke Dorotheenstraße 
10117 Berlin 

Tel.: 030 - 22 00 247-0 

Fax: 030 - 22 00 247-99 

E-Mail: info@tmf-ev.de 

Internet: www.tmf-ev.de 
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medizinische Forschung e.V. 


In der TMF - Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. haben sich 
Netzwerke und vernetzt arbeitende Einrichtungen zusammengeschlossen, um gemeinsam die Fragestellungen 
und Herausforderungen von medizinischer Forschung an verteilten Standorten zu lösen und die Erfahrungen zu 
bündeln. Durch den Community-Ansatz erfahren die Ergebnisse der TMF eine breite inhaltliche Abstimmung in 
der medizinischen und medizininformatisch-biometrischen Fachwelt. Mit ihrer Schriftenreihe macht die TMF die 


Lösungen einer breiteren Leserschaft zugänglich. 


Bisher in der Schriftenreihe erschienen: 


Band 1: 

Generische Lösungen zum Datenschutz 

für die Forschungsnetze in der Medizin 

von Carl-Michael Reng | Peter Debold 

Christof Specker | Klaus Pommerening 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2006 


Band 2: 

Biomaterialbanken - Rechtliche Rahmenbedingungen 
von Jürgen Simon | Rainer Paslack | Jürgen Robienski 
Jürgen W. Goebel | Michael Krawczak 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2006 


Band 3: 

Checkliste und Leitfaden zur Patienteneinwilligung 
Grundlagen und Anleitung für die klinische Forschung 
von Urs Harnischmacher | Peter Ihle | Bettina Berger 
Jürgen Goebel | Jürgen Scheller 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2006 


Band 4, 2. Auflage: 

Datenqualität in der medizinischen Forschung 

von Michael Nonnemacher | Daniel Nasseh 

Jürgen Stausberg 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2014 


Band 5: 

Biomaterialbanken - 

Checkliste zur Qualitätssicherung 

von Michael Kiehntopf | Klas Böer 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2008 


Band 7: 

Verwertungsrechte in der vernetzten 

medizinischen Forschung 

von Jürgen W. Goebel | Jürgen Scheller 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2009 


Band 8: 

Regulatorische Anforderungen an Medizinprodukte 
von Kurt Becker | Sandra Börger | Horst Frankenberger 
Dagmar Lühmann | Thomas Norgall 

Christian Ohmann | Annika Ranke | Reinhard Vonthein 
Andreas Ziegler | Andreas Zimolong 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2011 


Band 9: 

Qualitätsmanagement von Hochdurchsatz 
Genotypisierungsdaten 

von Michael Krawczak | Mathias Freudigmann (Hrsg.) 
MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2011 


Band 10: 

Einwilligungserklärung und Forschungsinformation 
zur Gewinnung tierischer Proben 

von Jürgen W. Goebel | Jürgen Scheller 

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft, 2012 


